Kad god sumnjaš na to da je nalog kompromitovan, prvi korak je da odmah promeniš lozinku. That said, verovatno se radi o falsifikatima adresa. Ne koristim Google Apps, pa ne znam kako se to proverava kroz njihov admin panel, no ako pogledaš Received: header vraćene poruke moći ćeš da vidiš odakle je (verovatno) poslat početni mail. Ako je slat sa Googleovih servera, moraćeš da proveriš i u admin panelu (neki ekvivalent log fajla i/ili sent sandučeta). Ako je slato sa nekih levih adresa, onda nemaš zašto da brineš.
Kad gledaš headere, veruješ samo onim headerima koje je upisao tvoj server. Kod
backscatter mailova možeš da veruješ i headerima koje je upisao server koji šalje te mailove (onaj ko je poslao na tvoju adresu, odnosno tvom serveru). Kad se ovako objašnjava zvuči komplikovanije nego što jeste. Uostalom, okači Received headere, pa da vidimo.
Inače, catchall adresa je najčešće ništa drugo do loša usluga samom sebi, da se tako izrazim. Ja bih to batalio i izabrao neku lako pamtljivu adresu. Da nemaš catchall adresu ne bi ni dobio te backscatter mailove, koje inače šalju loše konfigurisani serveri.