Meu palpite é que é o seu serviço submission
, que é um serviço totalmente aberto. Eu acho que atualmente permite que qualquer pessoa se conecte e apenas envie o e-mail sem precisar de autenticação.
Alternativamente, sua configuração de SASL é desarrumada de uma maneira que retorna "OK, este usuário pode autenticar" mesmo quando não deveria. (Estive lá, fiz isso)