La porta non sarà definita poiché non è un servizio in ascolto su una determinata porta. Verrà assegnata una porta alta casuale quando si tenta di connettersi al servizio remoto. Pertanto non si può semplicemente guardare la porta di origine. Il logger probabilmente si connetterà a un server remoto su cui è in esecuzione l'SMTP sulla porta 25, ma potrebbe trattarsi anche di un'altra porta.
Un approccio per rilevare flussi insoliti sarebbe quello di guardare i flussi di posta elettronica. Normalmente tutti i client della tua rete dovrebbero connettersi ai tuoi server di posta, quindi quando i programmi iniziano a inviare email usando un altro IP rispetto al tuo server di posta, potrebbe essere qualcosa di sospetto. Naturalmente può anche essere legittimo. Inoltre, considera che il keylogger potrebbe semplicemente accedere al tuo server di posta elettronica con credenziali valide e e-mail da lì.
Anche nel tuo esempio dici che richiede un nome utente e una password, il che significa che probabilmente accederà al server di posta Gmail e invierà un'email da lì. Questo è completamente crittografato. Ciò significa che devi controllare i flussi verso i server di posta di google e chiedere ai tuoi dipendenti se stavano usando gmail o meno.
Non c'è davvero un modo semplice per rilevare questi attacchi. Il modo migliore sarebbe utilizzare un anti-virus in grado di rilevare i keylogger sulle macchine. Indipendentemente da ciò, potrebbe essere utile, poiché la macchina era probabilmente già compromessa e un utente malintenzionato potrebbe aver aggiunto più di un semplice keylogger.