SMTP being hijacked - trying to block sender

The header you showed us indicated no internal machine. If there's no header with one, then I bet you can stop trying to find an internal infection that's a source of these emails. 

I think you've already identified the problem is an external entity that's discovering how to auth to your LDAP. You also indicated that the bad guys are creating new accounts!?!?!  It seems like that's the real problem, or ???

Cheers - Bob

Sorry for any short responses!  Posted from my iPhone.

You also indicated that the bad guys are creating new accounts!?!?!  It seems like that's the real problem, or ???

Cheers - Bob

Sorry for any short responses!  Posted from my iPhone.

If the bad guys really are creating new (LDAP) accounts on your open directory, your OSX Server itself may be compromitted by malware, or it's somehow accessible from external, and the bad guys brute force'd your admin password.

Check in ASG Logs or also Reporting all OUTGOING connections and services from your OSX Server.

Reject all unnecessary services from OSX to Internet on ASG's Firewall (only open definately required services)

Install A Malwarescanner on your OSX Server

Check all Accounts with administrative rights on your MAC OSX Server, and maybe changing their passwords may help (at least temporary)

You also indicated that the bad guys are creating new accounts!?!?!  It seems like that's the real problem, or ???

Cheers - Bob

Sorry for any short responses!  Posted from my iPhone.

If the bad guys really are creating new (LDAP) accounts on your open directory, your OSX Server itself may be compromitted by malware, or it's somehow accessible from external, and the bad guys brute force'd your admin password.

Check in ASG Logs or also Reporting all OUTGOING connections and services from your OSX Server.

Reject all unnecessary services from OSX to Internet on ASG's Firewall (only open definately required services)

Install A Malwarescanner on your OSX Server

Check all Accounts with administrative rights on your MAC OSX Server, and maybe changing their passwords may help (at least temporary)

@ Scott - added the two RBL zones you mentioned, thanks. I am not using a SMTP proxy. Just relaying from the OSX Server to the Astaro. I'm seeing all sorts of email addresses in my Top Ten Senders list from random domains, but in the SMTP Proxy live log, it's the cartasi@servizi.it email (corresponding to the IP address posted earlier) that is hammering the firewall with the 1000s of requests. This is why I feel it's malware, constantly running on someone's computer - you would think if it was a live person somewhere, they would have given up by now.

@anwar - I've already installed anti-malware/virus on the OSX Server, and the first scan of the boot drive brought up an infected file in /var/mailman (which we use for some internal mailing lists). That has since been quarantined and no other infected files have come up on subsequent scans. Unfortunately this program (ClamXav) will not scan my RAID volumes, only the boot drive. The mail server is on one of these volumes. I will probably have to run the program from the command line as root for this to work but so far haven't found the instructions to do so. Do you have any other suggestions for decent anti-malware software for Mac that will not have this problem?

@ BAlfson - no, LDAP accounts are not being created. Originally, someone  was using an LDAP account to authenticate to the firewall, but I deleted that as soon as I discovered it and now there are no suspicious authentications going on.