El puerto estará indefinido ya que no es un servicio que está escuchando en un puerto determinado. Se le asignará un puerto alto aleatorio cuando intente conectarse al servicio remoto. Por lo tanto, no puedes simplemente mirar el puerto de origen. El registrador probablemente se conectará a un servidor remoto donde el SMTP se está ejecutando en el puerto 25, pero este también podría ser otro puerto.
Un enfoque para detectar flujos inusuales sería mirar los flujos de correo electrónico. Normalmente, todos los clientes en su red deben conectarse a sus propios servidores de correo, por lo que cuando los programas comienzan a enviar correos electrónicos utilizando otra IP que no sea su servidor de correo electrónico, podría ser algo sospechoso. Por supuesto, también puede ser legítimo. También considere que el keylogger podría simplemente iniciar sesión en su servidor de correo electrónico con credenciales válidas y correo electrónico desde allí.
También en su ejemplo usted dice que requiere un nombre de usuario y contraseña, lo que significa que probablemente se conectará al servidor de correo de gmail y enviará un correo electrónico desde allí. Esto está completamente encriptado. Esto significa que debe mirar los flujos hacia los servidores de correo de Google y preguntar a sus empleados si estaban usando gmail o no.
Realmente no hay una forma sencilla de detectar estos ataques. La mejor manera sería utilizar un antivirus que pueda detectar los keyloggers en las máquinas. Independientemente de lo que diga, esto puede ser de utilidad ya que la máquina probablemente ya estaba comprometida y un atacante podría haber agregado algo más que un keylogger.