Você deve ter 2 ou 3 conectores de recebimento. Não se deve ter nenhuma opção de autenticação marcada e operar na porta 25 e estar vinculada ao seu endereço IP externo para receber mensagens recebidas. O segundo deve estar vinculado a um endereço IP interno somente na porta 25 e / ou 587, com autenticação obrigatória e restrito a IPs internos ou intervalos de IP permitidos para uso por dispositivos internos e serviços como scanners e software de monitoramento. O terceiro é opcional e é executado na porta 587, requer autenticação e TLS e é vinculado a um ip externo para uso por seus funcionários fora do seu perímetro.
Agora, como o primeiro conector de recebimento permite apenas conexões anônimas, ele proíbe automaticamente a retransmissão. Isso resolverá seu problema, especialmente se você não ativar o terceiro conector mencionado.