Можно использовать OSSEC HIDS, который может контролировать журналы, изменения в файловой системе и ключах реестра.
OSSEC может работать автономным программным обеспечением (всего один сервер) или сообщающий центральному менеджеру. Существует веб-UI, и можно также управлять предупреждениями с Splunk.
Если Вы хотите сложить больше служб безопасности, можно интегрировать предупреждения OSSEC в OSSIM и получить другие средства защиты, такие как управление уязвимостью или корреляция.
В моем исследовании я нашел, что существуют триггеры, которые могут быть добавлены к Exchange Server непосредственно. Можно записать программу, чтобы использовать тот триггер и работать на хранимой процедуре SQL я, который запустил бы программу (исключающий FTP полностью).
Другая опция состояла бы в том, чтобы по существу записать клиенту Exchange (возможно, POP или IMAP будут работать), который проверяет каждый, x минуты для новой почты затем обрабатывают информацию.
Никакая опция не очень изящна или легка.