Многие SMTP-прокси сервера используемые в качестве брандмауэров позволяют обойти защиту SMTP-Сервера с помощью команды DATA, расположенной до RCPT:. В таком случае все команды следующие далее будут восприниматься как данные и не будут проверяться.
vulners.com/securityvulns/securityvulns:doc:420