Последнее время начал приходить спам от сотрудников компании.
Пробежал ручками по smtp, получил следующее

220 mail.oprf.ru Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at
Tue, 21 Jul 2009 19:29:42 +0400
ehlo test.ru
250-mail.mydomain.ru Hello [16.55.77.40]
250-TURN
250-SIZE
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-X-EXPS GSSAPI NTLM LOGIN
250-X-EXPS=LOGIN
250-AUTH GSSAPI NTLM LOGIN
250-AUTH=LOGIN
250-X-LINK2STATE
250-XEXCH50
250 OK
mail from: am@mydomain.ru
250 2.1.0 am@mydomain.ru....Sender OK
rcpt to: am@mydomain.ru
250 2.1.5 am@mydomain.ru
data
354 Start mail input; end with <CRLF>.<CRLF>
test
.
250 2.6.0 <EXCHANGEJxV0HvBgUp500001647@mail.mydomain.ru> Queued mail for delivery

То есть пересылка почты внутри ведется без какой либо аудентификации.
Если отключтить anonymous access в default smtp virtual server,
mail from: am@mydomain.ru
454 5.7.3 Client does not have permission to submit mail to this server.

Релей с внешних адресов закрыт.

Где копать?

Копать очень просто. Этот спам - извне, а не от ваших пользователей. Зовется спам с подменой отправителя. У меня это основная проблема в спаме, все остальное отсеивается.
Для того, чтобы проверить, так ли это у вас, откройте письмо спама, сохраните его как msg и откройте блокнотом содержимое. Ищите строки smtp from И прочее. Там должен быть другой адрес.
А с telnet действительно можно отправить письма от себя себе же. Я так часто с дома делаю, когда проверяю работоспособность почты :)

Единственноые строки с smtp содержат слежующее

Received: from YBWUZJO ([59.93.123.8] RDNS failed) by mail.oprf.ru with Microsoft SMTPSVC(6.0.3790.3959);
Tue, 21 Jul 2009 13:23:24 +0400
Received: from 59.93.123.8 by mx.maycom.co.jp; Tue, 21 Jul 2009 14:54:16 +0530
Message-ID: <000d01ca09e5$04f66da0$6400a8c0@bassesv3>
From: user@mydomain.ru
To: <user@mydomain.ru>

user@mydomain.ru SMTP user@mydomain.ru EX:/O=MYDOMAIN/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIPIENTS/CN=USER Ь§@ИАBґ№ +/б‚
/O=MYDOMAIN/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIPIENTS/CN=USER Full_User_NAME /O=Mydomain/OU=FIRST ADMINISTRATIVE GROUP/CN=RECIP

Но все это содержалось в конце письма, в блоке проверки NOD'ом
Понятно, что mx.maycom.co.jp - это и есть спамер, но куда теперь копать, ведь он не один?

Delirium, двойка :) То, что ты советуешь смотреть - MIME-конверт, там уже все подменено. Нужно смотреть SMTP-log, и сравнивать его с данным конвертом.
wolland, в Exchange 2003 функционала, разрешающего данную проблему нет. Используйте Graylist - дешево и сердито. Принцип можете почитать у меня в блоге. Ну или ставть серьезный спам-фильтр.

GFI Mail Essantial 12 не справляется с данной задачей.
Ну либо у меня кривые руки

Delirium, двойка То, что ты советуешь смотреть - MIME-конверт, там уже все подменено »
Нифига не двойка, я как раз и хотел увидеть вот эту строку :) :
Received: from 59.93.123.8 by mx.maycom.co.jp »

А то может, у него действительно, от самого себя идет :) А так посмотреть просто и быстро :)

GFI Mail Essantial 12 не справляется с данной задачей. »
и 14 не справится, и GFI MailSecurity не справится.

А вот по поводу graylisting'а ничего не могу сказать, не настраивал еще.
wolland, Пока что я обхожусь идиотским способом - keyword checking. Забил туда кучу записей со спам писем, пока отсеивает, но это не выход.

А при чем здесь mail security, это же совсем из другой оперы
Пробовал использовать стандартный фильтр Sender ID но как то хреновая у него продуктивность.
Graylist фильтр в 12gfi у меня включен.. в том то и проблема, что проходит спам только с подменой имен, все остальной благополучно отсеивается.

Graylist фильтр в 12gfi у меня включен.. »
Вот так даже? А где включали, если не секрет? Насколько я помню, в GFI MailEssential до сих пор модуля Graylisting'а нет. Поэкспериментуируйте с добавлением в блэклист всего вашего домена, но в этом случае есть подводные камни: POP3 клиенты не смогут отправлять почту, это всякие Outlook Express, The Bat старых версий и Mozillla Thunderbird..., и нужно будет отключать фильтрацию исходящей почты, т.к. иначе исходящая почта может встать.
По поводу модуля Graylisting'а советую поискать в Гугле JEP(S), очень качественный продукт, его бесплатная версия может очень много, ну а купив ее за 200 евро (количество SMTP-серверов, ящиков и т.п. неограничено) получите просто сказочный функционал в виде, например, Auto-WhiteList'а, т.е. белый список будет заполняться по исходящей почте. Супер же :)