Je me demande si je devrais également bloquer les hôtes qui n'ont pas de RDNS valide correspondant à l'EHLO?
Non, tu ne devrais pas. Bloque tout un e-mail uniquement selon un critère, c'est une mauvaise pratique.
Si je fais cela, vais-je causer des ennuis avec beaucoup de courrier légitime et déranger mes clients?
il est plus probable que vous le fassiez et perdrez du courrier légitime
Je me demande également si je peux faire un compromis en vérifiant que RDNS est au moins réglé sur quelque chose, mais ne pas essayer de le faire correspondre à l'EHLO. Est-ce possible avec Postfix (et est-ce utile)?
oui, c'est possible. Vous pouvez utiliser rejette_unknown_reverse_client_hostname au lieu de rejette_unknown_client_hostname
Malheureusement, postfix n'a pas d'options flexibles pour une "décision complexe". Dans exim, vous pouvez ajouter quelques points pour ces e-mails, par exemple
Score = 0
1. The HELO or EHLO hostname is not in fully-qualified domain or address literal form. Score +=10
2. The HELO or EHLO hostname has no DNS A or MX record. Score +=20
3. The HELO or EHLO hostname is listed with the A record "d.d.d.d" under rbl_domain. Score +=20
4. The sender domain has no DNS A or MX record. Score +=10
5. SPF checks return softfail. Score +=10, fail, Score +=20
...
Etc. Une fois toutes les vérifications terminées et si vous avez obtenu un score> 100, vous pouvez rejeter le courrier. En fait, vous pouvez obtenir un tel comportement, mais vous devez écrire votre propre service de stratégie