Não tenho certeza se entendi totalmente a pergunta com a parte sobre os provedores permitem o envio de e-mails para a Internet sem autorização. Se você quer dizer que os usuários da Internet que usam o servidor para enviar para outros usuários da Internet, isso é ruim. Seria considerado um retransmissor aberto e sim você provavelmente seria filtrado por outros ISPs.
Se você quer dizer que seus usuários internos estão enviando para a Internet, isso não é necessariamente ruim, é apenas uma decisão política. Você pode fazer isso protegendo o servidor apenas para retransmitir mensagens para seus intervalos de IP.
Nós não somos um ISP, mas trabalhei com eles. Enquanto lá, só permitíamos o envio de nosso próprio intervalo de IP, e se você estivesse fora da rede, teria que autorizar o servidor de e-mail a enviar mensagens e / ou usar a interface da web para usar o e-mail.
Servidores de e-mail foram limitados em quanto poderiam enviar por mensagem para que as pessoas não enviassem anexos enormes por e-mail.
O servidor de e-mail foi monitorado por picos de tráfego incomuns ... nenhum usuário doméstico deve estar enviando um fluxo constante de e-mails.
O roteador bloqueou a porta 25 para qualquer servidor que não fosse designado como o servidor de e-mail, para que os usuários domésticos não pudessem rodar seus próprios servidores de e-mail.
Filtrar mensagens de saída com algo como filtragem bayesiana pode ser um problema, pois falsos positivos criam uma experiência ruim para o usuário. Os usuários não gostam quando seus webbertubes agem como mágica e essa mágica não funciona para eles, especialmente se falhar aparentemente aleatoriamente. Seu suporte técnico também não apreciará as chamadas enfurecidas. Ou você pode perder usuários que apenas se cansam se tiverem uma experiência ruim com coisas "simplesmente não funcionando" (a menos que sejam pessoas que você quer que usem da sua rede, eu não sei).
Em geral, você deseja impedir o acesso não autorizado ao seu servidor. A autorização SMTP pode ser um pouco irritante para os usuários configurarem, mas geralmente não é tão ruim. Além disso, bloqueá-lo para colocar na lista de permissões seus próprios IPs para retransmissão e limitar o tamanho da mensagem deve ser bom. Você pode ou não querer adicionar também um bloqueio no envio de anexos executáveis (bat, pif, exe, com ...), mas essa é uma decisão política.
De qualquer forma, você precisa deixar claro em seu site e instruções para os usuários domésticos como e o que é permitido para o seu servidor de e-mail. Você ainda receberá os telefonemas sobre por que algo não funcionou ou o que uma mensagem de rejeição significa, já que os usuários geralmente não conseguem ler a mensagem com "anexo muito grande" escrito nela, mas a habilidade um pouco mais experiente apreciará a capacidade para procurar suas políticas e erros sem lidar com sua linha de ajuda.