Se os seus clientes se autenticam para enviar os emails, você pode simplesmente recusar emails cujo o domínio seja interno e não estejam autenticados.
Isso corta muito Lixo Eletrônico que tenta entregar mensagens usando como remetentes, emails do seu servidor.
Internal_from? !Auth? Reply! "550 Voce precisa autenticar-se" Deny!
