Редирект mail iptables

С сервера идет исходящий спам, причем не через спам скрипты (которые можно было бы обнаружить через X-php-script патч), а предположительно через исходящие коннекты на открытые релеи. Как такое можно засечь?

Есть мысль перевести все OUTPUT запросы 25 порт на второй сервер и там уже логировать. Каким образом наиболее корректно провести подобную операцию?