Esta é uma falsificação de SMTP, que basicamente significa que o usuário enviou o email através de outro servidor SMTP que usou qualquer endereço de email (você pode enviar um email como [email protected] mesmo que você nem possua o domínio), no entanto, sua conta de e-mail não é comprometida e as pessoas não podem ver sua caixa de e-mail.
Para evitar que isso aconteça, minha sugestão é analisar a criação do registro SPF. Se você estiver usando o Google Apps, ele pode ser encontrado aqui: link , isso não impede que as pessoas enviem e-mails de endereços de e-mail falsos, mas enviam esses e-mails automaticamente para spam.