Пересылать весь SMTP-трафик на сервер защиты от спама, кроме SMTP с проверкой подлинности?

Исторически мы обрабатывали SMTP-трафик через несколько многофункциональных серверов, каждый из которых имел свой собственный локальный стек для борьбы со спамом. Мы выросли, и это больше невозможно поддерживать. Теперь у нас есть единый анти-спам-шлюз, который работает хорошо, но спаммеры по-прежнему отправляют сообщения непосредственно на конечные точки SMTP, как и раньше. Большинство наших пользователей подключаются к своему серверу через mail.example.com для SMTP, IMAP и POP, что напрямую указывает на IP-адрес их сервера.

Как я могу перенаправить трафик "спамера", который полностью игнорирует записи MX для доменов, при этом оставляя порт 25 доступным для пользовательского SMTP-трафика? Трафик от MTA пользователей поддерживается через порт 587 (требуется авторизация) и 25. Мне в основном нужно, чтобы почтовый трафик, направляемый на сервер, направлялся на шлюз антиспама для проверки, в то же время позволяя трафику SMTP пользователя (их исходящей электронной почте) быть разрешенным и не отправиться в путешествие через анти-спам. Я использую qmail на конечных точках. Это возможно?

ОБНОВИТЬ

На самом деле мне не нужно пересылать спам на удаленный спам-фильтр. Это было бы хорошо для изучения спама (мед горшок), но это не обязательно, и я могу обойтись без него.

Конечные точки SMTP-серверов должны...

1. Разрешить пользователям отправлять почту через SMTP-сервер, только с аутентификацией, на порты 587 и 25. Чтобы не нарушать устаревшие конфигурации, мне все еще нужен открытый порт 25 для сеансов с проверкой подлинности.
2. Сконфигурируйте порт 25 для приема неаутентифицированной почты с IP-адреса фильтра антиспама, не принимая почту от любых других неаутентифицированных IP-адресов. Входящая отфильтрованная почта не прошла проверку подлинности. Он просто передается через фильтр записями MX.