По логике, если часть писем стала падать в спам, то не проходит spf проверку (либо DKIM, но такого эффекта он скорее всего не даст). Получается маскарад без указания интерфейса каким-то образом отправляет наружу пакеты с неправильного ip? Как?
Посмотри в packet flow diagram, на каком этапе отрабатывает srcnat, вспомни что делает masquerade и что в таком случае будет со всеми соединениями которые будут ходить из интернета в локалку