Para empezar. _PARA_ el servidor de correo.
:-O
Eso debería ser el último recurso. Un servicio de correo no se puede detener a la ligera si no quieres tener la centralita saturada de llamadas con clienets muy cabreados :-), o tienes un servidor de correo de backup que pueda responder.
Esto lo decía para el caso de que se tratara de correo saliente. Y sigo manteniendo que es lo mejor que se puede hacer, por la sencilla razón de que mientras no lo pares y detectes por donde "van los tiros" el servidor está enviando miles de correos a la red. (y te lo digo por experiencia). Además tiene el efecto secundario de que muchas de las direcciones a las que manda el "servidor loco" no existen, por lo que luego te las devuelven rebotadas. :-) Aunque sea solo para limpiar la cola de mensajes es aconsejable pararlo. No lo paras "a la ligera" lo estás parando para evitar males mayores como por ejemplo entrar en listas negras. Parar el servidor un par de horas no supone ningún problema ya que no pierdes correo. Quienes tienen que mandarte algo normalmente usan un intervalo mínimo de cuatro horas antes de devolver el mensage.
Lo suyo sería intentar detectar un patrón del atactante (direcciones IP desde donde conecta, direcciones de correo del remitente/destinatario...) para poder filtralo por algún lado.
Si, en el caso de que sea un ataque de correo entrante. IP's, paises, "subject", etc.
Si se trata de un problema de falta de recursos en el servidor de correo debido al ataque, se podría bajar las conexiones entrates máximas permitidas para evitar que se caiga el servidor.
Es que ha dado muy poca información para decir más. Ni siquiera que servidor era ..... -- Salutacions - Saludos, Josep M. Queralt