这个情况在我维护的另外几个mail系统上出现过，

基本特征是：外部发送某邮件给内部人员后，内部人员机器密码被盗窃，外部人员使用该密码发送邮件，同时也使用pop3收件，导致内部用户无法收发。  也有内部机器客户端狂发的。

该类型病毒有若干个变种,比如  金蛋  牛尔  包包这类的

不嫌麻烦就可以用关键字过滤，不论进出都杀掉，或在尝试发给sa学习

邮件服务器安全部分，如果你安装完了，啥都不做，iptables都不开，直接扔到DMZ，被黑是很正常的，简单一个nmap就能知道你跑了啥服务