Дырки... Дырки как раз есть всегда по умолчанию. Трафик исходящий по умолчанию разрешен любой. А входящий - только то, что на запросы через NAT вышло. Так что если не определены политики исходящего трафика, то тут ловить нечего. Будут и сканеры портов садиться в систему и работать успешно, и спам-боты почту рассылать будут исправно.
Ну так о том и речь. Но политику то можно самому разрулить что разрешить, что запретить и кому. А если разрешено все - так и будет - потому и надо смотреть на шлюзе. Мы давно не ставим открытых шлюзов вообще. SMTP наружу по дефолту запрещаем. Как и NAT в большинстве случаев. Будьте добры через proxy или обосновать необходимость. В некоторых случаях правильнее порты пробросить.
Если же тут сетка простая офисная - то самая жестокая политика будет оправдана - в силу низкой квалификации юзеров.