Estoy trabajando en la detección de spam realizada por botnets.
Alguna información
Recientemente, vine a través de una técnica para detectar el spammer en mi red que se basa en la cantidad anómala de consultas MX, conexiones SMTP salientes, genera un host / bot interno (lo cual es raro en casos máximos, como legítimo / interno los hosts hablan con el servidor de correo interno, no directamente con el servidor de correo de destino).
Sin embargo, si mi red bloquea smtp, los robots no podrán enviar correo basura.
Por el contrario, los bots también usan servicios de correo web (a través de http como gmail, hotmail, que está abierto en cualquier red) y envían correos de spam.
Query
En este escenario, ¿cómo será posible que detecte la actividad de spam del bot (ya que la mayor parte del tráfico de correo web está cifrado) o cómo detecto los bots en mi red que están enviando correos no deseados utilizando servicios de correo web extralimales (gmail, hotmail, etc.).
Gracias