Citação Postado originalmente por Alexandre Correa
aqui eu faço assim:

"MARCO" os pacotes com destino ao STMP (porta 25) com um RETURN soh para contabilizar os bytes

ai com o iptables -t mangle -L -nv

consigo ver o tanto de byte que foi enviado.. e quais ips estao acessando smtp diretamente..

aqui eu faço um load-balance para a saida para SMTP

quando sai para:

pop3, smtp, pop3s, smtps, imap e imaps .. ele sai por outro lugar... para que o ip que o pessoal usa pra navegar nao seja bolqueado em determinados sistemas...

Você poderia postar um trecho do seu iptables com a tabela mark para a porta 25