[Greyman]

hasherfrog
Откуда уверенность, что черви именно из почты? Инета нет? А интранетовский сервер, выставленный в инет? Для начала, надо 100% определить путь распространения.

В случае, если распространение идет все же через ЭП, но на центральном сервере ты ничего задействовать не можешь то есть варианты.
1. Установка ПО АВЗИ на рабочие станции для проверки ЭП. В этом случае очень эффективен DrWeb. Можно не использовать его резидентный монитор, но включить SpiderMail. Для защиты только ЭП этот вариант на порядок эффективнее других антивирусов.

2.Установка промежуточного почтового сервера. Если настройки центрального сервера не доступны, то он должен уметь получать почту с него по POP3. Есть 2 варианта:
а) Установка на сервер почтового ПО, в которое забивается информация о паролях и логинах пользователей. Соответствующее ПО довольно легко ищется поиском (аналог его - TheBat! в серверном режиме). Минус - меньшая безопасность и неудобство для пользователей.
б)Использование редиректора портов. Тогда у пользователей в качестве почтового сервера указывается адрес (или имя) промежуточного. А на этом сервере настроен редирект пакетов по почтовым портам на оригинальный сервак. В этом случае не требуется забивать на сервере логины и пароли, но для фильрации на спам, вирусы и др. нежелательный контент необходима установка ПО, работающего не в качестве дполнений, а непосредственно с почтовым трафиком, проходящим по определенным портам (яркий представитель такого ПО - тот же SpiderMail от DrWeb).

Также возможно объединение этих вариантов...