Supondo que o Barracuda tenha registros rDNS corretos, adicione uma ACL no horário do helo e aceite apenas conexões que verificam e são de seu domínio. O seguinte deve ser um bom ponto de partida. A documentação do Exim fornece detalhes adicionais.
Essas regras podem ser adicionadas no momento da conexão, mas provavelmente resultarão na repetição de servidores legítimos. No entanto, eles podem ser usados em um email ou destinatário acl.
acl_local_helo:
# Accept connections received over a local interface, and from hosts
# for which we relay mail.
accept
hosts = : +relay_from_hosts
# Verify reverse DNS lookup of the sender's host.
# Disable piplining and delay on failure.
accept
verify = reverse_host_lookup
hosts = *.baracuda.xxx
# Deny all others
# start with defer until you are sure the rules are working
defer