Eu diria que o ônus da prova está neles - eles precisam demonstrar que, na verdade, está transmitindo para o endereço encapsulado que isso seja uma vulnerabilidade.
Você não pode provar um negativo; não há como você demonstrar que todas as combinações possíveis de malformações de endereços serão rejeitadas. Difundindo o campo de endereço do destinatário do seu servidor de e-mail não deve ser esperado de você para comprovar a conformidade; testar essas coisas e informar sobre quaisquer problemas encontrados é o que o scanner está sendo pago.
Uma resposta aceita acontece o tempo todo para mensagens que não são entregues (para spam em particular) - é irresponsável para elas assumirem uma retransmissão aberta baseada em um código de resposta específico. Cada fornecedor de scan desse tipo que vi realmente envia a mensagem para um endereço na Internet, para que eles possam confirmar se conseguiram retransmitir com sucesso.
Seu teste mostrou que, apesar do código de resposta, a mensagem não é retransmitida, e a adição de seu domínio no final é uma evidência adicional de que a mensagem não está indo a lugar algum. No entanto, eles podem ter malformado o endereço de uma maneira diferente e visto um comportamento diferente. Pergunte-lhes o tráfego exato que eles enviam e qual é a resposta exata que receberam, e se a varredura deles confirmou a retransmissão pela internet. Se eles fizeram, reproduzi-lo; essa deve ser a extensão da due diligence que você precisa realizar aqui.
Se eles não provarem que você está realmente vulnerável a essa vulnerabilidade, a varredura deles não terá sentido e você deverá contestar as descobertas.