He visto una regla en un entorno que detecta los tipos de consulta de DNS MX que van desde una fuente interna a un servidor externo, ninguno SMTP. La justificación establece que esto podría ser indicativo de que se está utilizando malware para el envío de correo no deseado. Me gustaría entender mejor cómo esto funciona, ¿alguien tiene una explicación de cómo funcionaría esto?
La idea básica es probablemente que los clientes internos simplemente usan el servidor de correo de su proveedor de correo específico que está configurado en el agente de usuario de correo. Mientras que el spam trata de entregar directamente al MTA (agentes de transferencia de correo) del dominio de destino. El servidor de correo configurado no necesita búsquedas MX (solo búsquedas normales A | AAAA), mientras que la entrega a dominios de destino MTA necesita búsquedas MX. Y el spamming de muchos dominios diferentes causa muchas búsquedas de MX diferentes.