Может ли брандмауэр обрабатывать пакеты, отправляемые ему сетевым TAP?

Мы намерены изучить входящие письма в целях безопасности. Для этого мы решили, что решение будет включать:

Сетевой TAP - для копирования всего SMTP-трафика на межсетевой экран

Брандмауэр. Брандмауэр, в свою очередь, получает трафик от TAP и перенаправляет его на сервер Exchange.

Сервер Exchange - сервер Exchange (также выступает в качестве DC для домена, на который отправляются все письма), получает трафик от брандмауэра и сохраняет письма для нашего анализа.

После настройки этой инфраструктуры мы заметили, что есть одна основная проблема: брандмауэр видит трафик только при запуске tcpdump (потому что интерфейс переключается в случайный режим). Затем мы присвоили брандмауэру общедоступные IP-адреса, на которые ссылается запись MX для нашего домена. Это также не сработало, и брандмауэр не считал SMTP-трафик таким, как если бы он был ему отправлен, и ничего не произошло.

Я пришел к выводу, что проблема в том, что для того, чтобы это работало, должно быть трехстороннее рукопожатие по протоколу TCP и сеанс REAL, чтобы все работало. Очевидно, что с помощью TAP это не достигается.

На вопросы: 1. Верны ли предположения? 2. Есть ли способ решить поставленную задачу?