Und nochmal: Wenn er über einen SSH-Tunnel geht sind die pop3-Pakete verschlüsselt innerhalb der SSH-Pakete und somit auch gar nicht als solche erkennbar, was auch ein Filtern/Umleiten/whatever unmöglich macht.
Du müsstest also erst mal nach dem SSH-Tunnel schauen oder eben direkt auf dem Rechner des Angegriffenen zu Werke gehen.
~noctem