Транспортные фильтры Wireshark объяснены здесь: http://www.wireshark.org/docs/wsug_html_chunked/ChCapCaptureFilterSection.html
В основном в Вашем случае, Вам нужно
tcp port 11000 and host localhost
По-моему, Вы смотрите на это наоборот.
Ваша служба обнаружения сообщения должна принять АБСОЛЮТНО ВСЕ сообщения, отправленные в него, спам или ветчину, или это рядом с бесполезным.
Если Ваша служба обнаружения сообщения отклоняет сообщения спама, кто знает то, что еще она отклоняет из-за ложных положительных сторон. Если эта служба обнаружения реализована для легального или причин соответствия, необходимо сделать абсолютно уверенным, что она принимает то, что ад отправляется в нее, и Вы лучше добираетесь, который зафиксировал быстро, прежде чем Вы будете или контролироваться или будете иметь причину использовать службу обнаружения и найти сообщения, которые сохранят Вас от огромного штрафа, были отклонены сервисом.
Exchange не виновным здесь, Postini.