gestisco un server di posta con dominio pincopallino.it

siccome i filtri bayesiani sembrano non essere sufficienti sto compilando la blacklist per bloccare i domini più comuni

il problema è che negli header viene ogni tanto cambiato il dominio di origine con uno fittizio che spesso coincide con uno valido

mi ritrovo spam dove il dominio d'origine risulta essere libero.it, tin.it (e anche lo stesso pincopallino.it), come si fa a bloccare questo tipo di spam?