Tem certeza de que os e-mails estão vindo de dentro da sua rede?
Antes de mais nada, eu rastrearia as mensagens através do seu servidor de e-mail para determinar de onde elas vêm (você deve conseguir um endereço IP) que informa a máquina dentro da sua rede que está causando o problema ou eles estão vindo de fora da sua rede.
Se eles estiverem vindo de dentro, você pode endereçar a máquina problemática com uma verificação de antivírus ou reconstrução.
Se eles vierem de fora, você poderá alterar suas configurações no servidor de e-mail para não aceitar e-mails de outros servidores que alegam ser de seu domínio. Se você usa o seu servidor de e-mail e "restringe os e-mails recebidos do meu domínio", você provavelmente encontrará um bom passo a passo.
Como você está no Exchange 2010, o artigo abaixo mostra como impedir que seu domínio aceite emails do seu próprio domínio quando o remetente não está autenticado. Lembre-se de que, se você tiver programas enviando por meio de sua troca sem autenticação, precisará configurar um segundo conector de recebimento para eles ou configurá-los para autenticação antes de fazer essa alteração. link
Também vale a pena configurar o SPF, pois isso evitará que os spammers fingam ser você para outras pessoas (muito ruim se eles fizerem isso com seus clientes reais!). Link abaixo detalhes como fazer isso. link