>>>> AFAIK, HELO и реверс могут не совпадать, и это корректно.
>>> и не должны, но при использовании reject_unknown_client_hostname будут реджекты
>> С каких это пор reject_unknown_client_hostname что-то делает с HELO ?
> В smtpd_helo_restrictions можно применять ограничения для smtpd_client_restrictions
> http://www.postfix.org/postconf.5.html#smtpd_helo_restrictions
> И медленно проматываем до фразы:
> Other restrictions that are valid in this context:
> Generic restrictions that can be used in any SMTP command context, described
> under smtpd_client_restrictions.Ну валидно их использовать в этой фазе проверок (контексте), ну и что?
Рестрикшены от этого "точку приложения усилий" не меняют.
Если вы пропишете reject_unknown_client_hostname в smtpd_helo_restrictions, то оно как проверяло client_hostname, так его (а не HELO) и будет проверять.
Вы же в smtpd_helo_restrictions используете
check_helo_access
check_helo_mx_access
check_helo_ns_access
reject_invalid_helo_hostname
reject_non_fqdn_helo_hostname
reject_rhsbl_helo
reject_unknown_helo_hostname
а не
check_client_access
check_client_mx_access
check_client_ns_access
reject_rhsbl_client
reject_unknown_client_hostname
которые по-вашему в smtpd_helo_restrictions берут, и HELO проверяют.
Прошу отдельно отметить reject_unknown_helo_hostname.
Промотаю документацию чуть вверх и сцитирую, специально для читающих по-диагонали:
reject_unknown_helo_hostname (with Postfix < 2.3: reject_unknown_hostname)
Reject the request when the HELO or EHLO hostname has no DNS A or MX record.
The unknown_hostname_reject_code parameter specifies the numerical response code for rejected requests (default: 450).
The unknown_helo_hostname_tempfail_action parameter specifies the action after a temporary DNS error (default: defer_if_permit).
Нет ни одного слова про то, что оно обязано совпадать с client hostname, реверсом, и т п.