Você permite que eles sejam enviados (apenas alguns) e, em seguida, consulte o "texto original" do e-mail se o seu servidor suportar o arquivamento de e-mails. Procure nos arquivos da fila, se possível, para ver se você consegue realmente ler os e-mails antes que eles sejam enviados. Quer dizer, dependendo da importância do servidor de e-mail, desligue-o por alguns minutos e observe quem se conecta a ele quando fica on-line novamente. Melhor ainda, proíba o uso fora do domínio. Isso acabará com a questão para sempre.