Pour éviter le phénomène de 'spoofing' ( mails venant d'une adresse locale : bypass=q), il faut :

1) décocher la case antispam ~ listes noires et blanches ~ liste blanche ~ mettre en liste blanche les expéditeurs des domaines locaux (cela enlèvera les bypass=q et les mails seront analysés par antispam)
2) cocher la case antispam ~ listes noires et blanches ~ liste blanche ~ mettre en liste blanche les IP de confiance et les sessions authntifiées (cela aura pour conséquence de ne pas appliquer les contrôles antispam pour des mails envoyés par les utilisateurs authentifiés du serveur)

Une recommandation globale - exiger l'authentification de la part des utilisateurs légitimes du serveur.
Pour cela, sous serveur de messagerie ~ sécurité,
- décocher POP before SMTP
- mettre les adresses de confiance (au moins 127.0.0.1) dans la liste
- cocher "rejeter émetteur non autorisé dans domaine local"
A noter que dans ce cas, un utilisateur légitime qui ne rédige pas son mail depuis une IP présente dans les IP de confiance ni utilise l'authentification SMTP dans son client (Outlook, Webmail...), ne pourra pas envoyer des mails.
Vous pouvez aussi mettre en place le filtre ci dessous qui rejette les mails si l'expéditeur=destinataire et si la session n'est pas authentifiée (le modifier pour mettre une adresse locale dans la dernière action, ou supprimer l'action)