He visto una regla en un entorno que detecta los tipos de consulta de DNS MX que van desde una fuente interna a un servidor externo, ninguno SMTP. La justificación establece que esto podría ser indicativo de que se está utilizando malware para el envío de correo no deseado. Me gustaría entender mejor cómo esto funciona, ¿alguien tiene una explicación de cómo funcionaría esto?