por cierto, por si no teneis mucha soltura con servidores de correo, o al menos, no controlais demasiado el mdaemon, lo que te he explicado se configura aqui:

Setup-> Primary Domain Configuration->Archival.

saluditos

buenas

es innecesario instalar un sniffer, si tienes acceso al servidor de correo.

el mdaemon, como la mayoria de los servidores de correo, tiene la opcion de almacenar todo lo q le llega, e incluso, en este caso, de reenviar todos los correos que llegan o salen por el, a una direccion determinada; es decir, puedes hacer que todo lo que se envie a traves de tu servidor, llegue tambien a la cuenta de correo que tu le indiques, que suele ser la del administrador.

esto es trasparente al usuario que se conecta al servidor, que, por supuesto, no se cosca de nada.

por cierto, ojito, porque violas la intimidad del usuario de tu red, que si bien es un empleado, y estas en tu derecho de "controlarlo", no seria la primera denuncia que se lleva una empresa (ni el primer despido de un empleado )

lo dicho, cuidadito.

Saludos.

Añado:
Correo saliente (POP3): 110
Correo entrante (SMTP): Puerto 25

Por qué dices lo de oler?
En linux hay muchísimos sniffers, en windows no tantos y menos si son gratuitos. Se que hay muchas aplicaciones específicas para lo que tu quieres y seguro que alguna empresa española los desarrolla.
Gratuitos puedes probar Retina de eEye (version de evaluación) y muchos otros. Supongo que se podrá limitar a que filtre sólamente el puerto del correo, 25, todo es probarlo.
SpyNet es freeware, buscalo y prueba a ver si te funciona.
Como el "topo" utilice webmail (que no necesariamente utilizará la cuenta de la empresa)para pasar la información entonces va a ser chungo, porque eso ya complica mucho las cosas.
espero que te pueda servir de algo