[Письма с внешних источников от нашего домена]

Обратились в ТП, объяснили ситуацию, выгрузили дамп, ответили, что наш KSMG действительно "не замечал" проблем с подобными письмами в части SPF проверки и связано это было с ДНСом. 

KSMG наш "смотрит" на внутренний ДНС, где действительно есть запись для нашего домена (вынужденная мера у нас) и там просто не было SPF записи аналогичной той, что есть на внешнем ДНСе, обслуживающем наш домен.
Запись внесли, письма стали корректно обрабатываться в части проверки SPF, создали правило, где фильтруются письма с нашим доменом в качестве отправителя и с ним же в качестве получателя, включили проверку подлинности, выбрали "отклонить" для сообщений, которые не прошли проверку SPF и, на всякий случай, поставили галочку для отправки подобных сообщений в хранилище, пока будем наблюдать за потоком подобного спама (ранее так в компанию проникал спам). Если в итоге будет видно, что таким образом нужные письма не будут блокироваться, то уберем помещение в Хранилище.

Спасибо всем откликнувшемся!

[Письма с внешних источников от нашего домена]

ElvinE5, спасибо за ответ.

Все правильно настроено, правило применяется ровно то, какое и должно применяться, но это даже и не так важно. Важно то, что вообще такая возможность отправки от имени своего домена получателю своего же домена существует. Вопрос получается ровно в этом.

Попробуйте проверить свои KSMG. Ресурсов с SMTP тестами в интернете масса, я в первом посте своем написал, какой использовал я. Зайдите по ссылке и отправьте письмо от своего же имени себе самому, к примеру, и сообщите, пройдет ли тест подобный.

[Письма с внешних источников от нашего домена]

Причем тут внутренний почтовый сервер? Речь идет про внешние IP адреса и прием почты с почтовых адресов с нашим доменом (для KSMG он является локальным).

[Письма с внешних источников от нашего домена]

Схема потока почты:
Внешний релей (сервер с KSMG) --> Внутренний почтовый сервер. 
На KSMG настроены доверенные сети, там всего 2 IP наших внутренних почтовых серверов.
Сама проблема:
есть возможность отправить с любого внешнего IP адреса письмо пользователю нашего домена, представившись любым пользователем нашего же домена, авторизация никакая не нужна.
К примеру, можно написать от *****@*****.tld письмо на *****@*****.tld
При этом даже включенная проверка SPF в настройках правила Default не помогает, сообщение проходит и в заголовок текст о сбое проверки SPF не добавляется.
Для проверки использовался ресурс - dnscheckerТОЧКАorg/smtp-test-tool.php
В качестве сервера указывалось доменное имя сервера KSMG.