Для всех, кто наткнется на это, в нашем случае настройки SMTP-сервера кажутся правильными. На этом сервере было веб-приложение, которому доверяли отправлять электронную почту, и оно открывало форму, которая позволяла отправлять электронные письма, и добавление reCaptcha в эту форму остановило злоупотребления.