Ho visto una regola in un ambiente che rileva i tipi di query MX DNS che vanno da un'origine interna a un server SMTP esterno, nessuno. La giustificazione afferma che questo potrebbe essere indicativo del malware utilizzato per lo spamming. Mi piacerebbe capire meglio come questo funziona, qualcuno ha una spiegazione di come funzionerebbe.