Se restringir os endereços de retransmissão a privados resolveu o problema, uma possibilidade é que sua porta SMTP esteja aberta para tráfego de entrada. A porta frequentemente precisa estar pelo menos ligeiramente aberta para receber e-mails. No entanto, convém restringir a abertura apenas para permitir conexões originadas de servidores dos quais você deseja receber emails (ou seja, qualquer intervalo de ip fornecido pelo google apps for email).
Basicamente, parece que duas coisas estavam acontecendo:
1) O firewall não estava limitando o acesso à sua porta SMTP e permitindo que o tráfego passasse de uma fonte não confiável.
2) Seu servidor de e-mail estava transmitindo todos os e-mails em vez de apenas coisas da rede interna.
Você consertou 2, o que funcionará e deve resolver o problema. No entanto, você também deve analisar o problema 1 para ter mais segurança.