As linhas De: e Para: (e outras) no cabeçalho da mensagem não têm significado para a entrega de mensagens. Apenas os endereços de envelope são importantes (MAIL FROM e RCPT TO).
Portanto, ao impor que o remetente MAIL FROM corresponda ao usuário autenticado do SASL, você fez todo o possível para evitar o uso indevido de uma conta. Clientes de e-mail padrão e até mesmo spambots garantem que o From: e o MAIL FROM são iguais.
Mas, se você realmente quiser garantir From: e MAIL FROM, será necessário aplicar header_checks
para que Return-Path:
corresponda a From: