Alguém pode me ajudar a entender essa entrada de log do EXIM?

2017-03-29 09:12:20 1ct8iI-0001xv-W6 H=(outlook.com) [121.174.171.153] X=TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256 CV=no F=<[email protected]> A=login_server:repairs@**REDACTED***.co.uk rejected after DATA: Your FROM must match your authenticated email user

O erro está sendo acionado pela minha ACL, que verifica se meus usuários estão apenas enviando e-mails a partir do endereço com o qual entraram. No entanto, a conexão não veio do cliente do meu usuário (parece alguém fingindo ser outlook.com). Isso significa que eles decifraram a senha, ou esse tipo de ação está sendo acionado antes do smtp auth? É possível dizer a partir da entrada de log?

Atualizar

Examinando mais os logs (usando o eximstats) eu encontrei isto:

Relayed messages
----------------

  1 (outlook.com)[103.16.125.81] repairs@**REDACTED***.co.uk
  => mxs.mail.ru[217.69.139.150] [email protected]

2017-03-29 11:20:12 1ctAi3-0002U3-Kd <= repairs@**REDACTED***.co.uk H=(outlook.com) [103.16.125.81] P=esmtpsa X=TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256 CV=no A=login_server:repairs@**REDACTED***.co.uk S=1455 id=DEBCAEFEBFEEBFACFFDAAEECE@**REDACTED***.co.uk
2017-03-29 11:20:20 1ctAi3-0002U3-Kd => [email protected] R=dnslookup T=remote_smtp H=mxs.mail.ru [217.69.139.150] X=TLS1.2:RSA_AES_128_GCM_SHA256:128 CV=yes DN="C=RU,ST=RUSSIAN FEDERATION,L=Moscow,O=LLC Mail.Ru,OU=IT,CN=*.mail.ru" C="250 OK id=1ctAi9-0002xM-HW"
2017-03-29 11:20:20 1ctAi3-0002U3-Kd Completed