Exchange 2013 IPBlockListProvider bloquea algunas (pero no todas) IP coincidentes

He configurado nuestro servidor Exchange 2013 Edge Transport para utilizar varios IPBlockListProviders, incluido Spamhaus. Si bien funcionan muy bien la mayor parte del tiempo, todavía hay algunos correos electrónicos que, a pesar de coincidir con uno de los proveedores de la lista de bloqueo, llegan.

Tomemos, por ejemplo, un correo electrónico que se recibió recientemente desde IP 66.248.197.240, que seguramente se encuentra en Spamhaus SBL, así como en algunos otros (http://mxtoolbox.com/SuperTool.aspx?action=blacklist%3a66.248.197.240&run=toolpage) y correctamente identificado por el servidor Edge como tal:

[PS] C:\Users\Administrator>Test-IPBlockListProvider -Identity "Spamhaus" -IPAddress 66.248.197.240

Provider                                ProviderResult                                                          Matched
--------                                --------------                                                          -------
Spamhaus                                {127.0.0.3}                                                                True

He verificado que no estoy usando ningún reenviador de DNS público (como el de Google), por lo que no es un problema de bloqueo de todo o nada.

Lo que es más confuso es que esta configuración funciona para la mayoría de los mensajes recibidos que están en un SBL:

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>.\get-AntispamTopRBLProviders.ps1

Name                                                                                                              Value
----                                                                                                              -----
Spamhaus                                                                                                           4594
SpamCop                                                                                                              48

Curiosamente, una cosa que parece haber marcado una diferencia significativa es modificar la prioridad de los agentes de transporte de modo que el agente de filtrado de conexiones sea el primero. Esta es mi configuración actual por si es pertinente:

[PS] C:\Program Files\Microsoft\Exchange Server\V15\Scripts>Get-TransportAgent

Identity                                           Enabled         Priority
--------                                           -------         --------
Connection Filtering Agent                         True            1
Sender Id Agent                                    True            2
Sender Filter Agent                                True            3
Recipient Filter Agent                             True            4
Content Filter Agent                               True            5
Address Rewriting Inbound Agent                    True            6
Edge Rule Agent                                    True            7
Attachment Filtering Agent                         True            8
Address Rewriting Outbound Agent                   True            9
Protocol Analysis Agent                            True            10

Incluyo los encabezados completos de los mensajes (con las identidades de mi servidor redactadas) de un correo electrónico de una dirección IP que se encuentra en un SBL a continuación. Está claro que la inclusión de todo el filtrado de SPAM que tengo está afectando el tiempo que tarda un mensaje en llegar al servidor del buzón (en este caso, 8 segundos entre el envío y la entrega), sin embargo, no parece bastar.

X-Ms-Exchange-Organization-Network-Message-Id: 32388ce4-005a-4090-a363-08d2612d1e23
X-Ms-Exchange-Organization-Authas: Anonymous
Pm-Xs: 15766241f_7460962er.x15766241
X-Ms-Exchange-Organization-Avstamp-Enterprise: 1.0
Vr-Yhkrg: 15766241s-15766241e_i7460962
X-Ms-Exchange-Organization-Prd: heliq240.emited.work
X-Ms-Exchange-Organization-Pcl: 2
Return-Path: [email protected]
X-Ms-Exchange-Organization-Scl: 1
Mime-Version: 1.0
Ybu-Efa: c3195284488a449ed165c2c50f18376bb-ec3195284488a449ed165c2c50f18376b.u15766241
Okul-Lfp: 15766241y.15766241n_c7460962
X-Ms-Exchange-Organization-Senderidresult: None
X-Ms-Exchange-Organization-Antispam-Report: DV:3.3.14519.472;SID:SenderIDStatus None;OrigIP:66.248.197.240
Message-Id: <c3195284488a449ed165c2c50f18376b.15766241.7460962@heliq240.emited.work>
X-Ms-Exchange-Organization-Authsource: edgeserver.mydomain.com
Content-Type: multipart/alternative; boundary="15766241"
Received-Spf: None (edgeserver.mydomain.com: [email protected] does not designate permitted sender hosts)
Received: from mailboxserver.mydomain.com (192.168.1.2) by mailboxserver.mydomain.com (192.168.1.2) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Mailbox Transport; Wed, 20 May 2015 10:59:49 -0500
Received: from mailboxserver.mydomain.com (192.168.1.49) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32; Wed, 20 May 2015 10:59:43 -0500
Received: from edgeserver.mydomain.com (192.168.1.4) by mailboxserver.mydomain.com (192.168.1.49) with Microsoft SMTP Server (TLS) id 15.0.847.32 via Frontend Transport; Wed, 20 May 2015 10:59:43 -0500
Received: from heliq240.emited.work (66.248.197.240) by edgeserver.mydomain.com (192.168.1.4) with Microsoft SMTP Server id 15.0.847.32; Wed, 20 May 2015 10:59:41 -0500
New telecommuting opportunities available today - 05/20/15

¿Alguna sugerencia?

Además, esta es mi primera publicación en cualquiera de los sitios de Stack Exchange. Espero que esta pregunta sea merecida y esté en el sitio correcto. Si no, ¡házmelo saber!