Een ip adres van een klant kwam voor op de zwarte lijsten van Spamhaus. Na opvragen van aanvullende gegevens werd duidelijker waar het om ging. Namelijk uitgaand netwerkverkeer op poort 25 met verschillende afzenders (email spoofing). Meteen is er actie ondernomen en wel door een regel in de firewall toe te voegen welke alle uitgaande verkeer met als bestemming een poort 25 in het logboek noteerde. Al meteen bleek dat dit niet alleen de mailserver was, maar ook een ip van een computer in het netwerk. Meer specifiek een privé computer/laptop met daarop waarschijnlijk malware, deze is meteen van het netwerk verwijderd.

Een computer geïnfecteerd met malware wordt vaak gebruikt om heel veel spam mailtjes te versturen vanaf verschillende (niet bestaande) afzenders. Deze malware kan bijvoorbeeld in een browser plugin verstopt zitten.