Hvala na pomoći, a našli smo jednostavnije riješenje, bar mislim
http://wiki.mikrotik.com/wiki/...emporary_block_the_SMTP_output
jer odmah u adres listi izdvoji inficiranu ip adresu tj računalo
P.S
Najbolje uputstva imate na vašoj stranici najdetaljnije, tako da svaki početnik može bez ićije pomoći sam konf mrežu.