Correo electrónico: ¿proteger la suplantación de identidad de otros usuarios en el mismo dominio?

SPF y DKIM ayudan a validar que un correo electrónico se envió desde el dominio desde el que afirma haber sido enviado. Pero, ¿qué pasa si un compañero de trabajo falsifica otro buzón en el mismo dominio, es decir, falsifica un correo electrónico como proveniente de ceo@company.com y lo envía a través del servidor de correo corporativo (por lo que debería pasar SPF y DKIM)?