Você está certo, você está enviando mensagens DSN para pessoas inocentes (sem ofensa, pois isso pode parecer dramático demais).
Aposto que você tem usuários virtuais e / ou alguém atuando como um backup MX para você. A chave para evitar esse comportamento é verificar se essas contas existem no seu servidor (se você tiver um backup MX, ele precisa fazer o mesmo).
Aqui estão alguns trechos de configuração que devem ajudar:
Se eu entendi isso corretamente, você precisa especificar o domínio local / virtual e todos os usuários .
Eu não tenho certeza se eu poderia explicar isso, eu não sou um falante nativo de inglês. Basta perguntar se algumas coisas não estão claras.