Primeiramente, sua política SPF sozinha não bloqueará necessariamente o email ofensivo. Você também tem sua política DMARC em p = reject? Essa é a parte mais importante.
Em termos de outras ações, o importante é analisar o e-mail incorreto no relatório de feedback (FBR) para verificar se há algum tipo de campanha de phishing contra seu domínio / marca e, em caso afirmativo, você deve tem a URL na FBR da Microsoft que você deseja remover.
Além disso, não há ações típicas tomadas. A principal informação sobre ameaças de FBRs é apenas a URL e o conteúdo (se direcionado) da mensagem em questão.
Se o e-mail capturado na FBR fosse apenas spam farmacêutico genérico ou semelhante, quase certamente foi enviado por um computador doméstico infectado e é improvável que o IP reapareça de qualquer maneira segmentada.