verifique se tudo está propagado para o servidor de borda.
Start-EdgeSynchronization
O parâmetro AcceptMessagesOnlyFrom usa apenas um RecipientIdParameter [], o que significa que ele precisa ser um objeto AD. Então, tentei criar um objeto de contato com o endereço externo especificado, mas os e-mails ainda estão sendo devolvidos.
Qual é a maneira correta de restringir o envio a um grupo de distribuição para um conjunto específico de endereços não encontrados no sistema de troca?
Parece que você já está 90% do caminho até lá com o objeto de contato.
Desmarcou a opção "Exigir que todos os remetentes sejam autenticados" em "Restrições de Entrega de Mensagens" das propriedades do grupo de distribuição? (Estou assumindo que seu remetente externo não está usando autenticação, como é típico com mensagens recebidas da Internet.)
Por padrão, os grupos de distribuição no Exchange 2007 recebem apenas de remetentes autenticados.