В дополнение к своей предыдущей заметке.
Сейчас юзаю Postfix 2.1 (кое-где 2.2).
Нашел там такую фичу. Начиная с версии 2.1 Постфикс поддерживает выражения вида

1c.ru    reject_unverified_sender

в файле access. Это означает, для указанного домена проверить наличие отправителя, и если его нет или он запрещен, то режектить его почту. Настройки позволяют кэшировать проверки отправителя. Кажется, по умолчанию положительные проверки кэшатся на 30 суток, отрицательные - на 3 (или на 7). Все настраиваемо в main.cf. Файл для кэша прописывается там же. Таким образом у меня стоят полностью домены com, net, edu, разные экзотические страны типа ws, и выборочно русские домены типа mail.ru, rambler.ru и т.п. Т.е. те домены, которые часто ставят спамеры в своих письмах в качестве поддельных адресов. Иногда улов на таких проверках бывает до 15-20 процентов почты.

Кроме того, я поменял некоторые настройки в helo_checks_pcre:
# My net below
/192\.168\.82\.\d+/             OK
/\d+((\.|-)\d+){3}/             REJECT Invalid hostname (ipable)
#/(dsl|p[cp]p|cable|catv|dhcp|dynamic|client|customer|user|net|modem|di(a|au)(l|lup)|po(ol|oles|ll))(-|\.|\d)/ REJECT Invalid hostname (client)
/(dsl|p[cp]p|cable|catv|dhcp|dynamic|client|customer|modem|di(a|au)(l|lup)|po(ol|oles|ll))(-|\.|\d)/ REJECT Invalid hostname (client)
/\d{2,}[-\.]+\d{2,}/            REJECT Invalid hostname (D-D)
/\d{2,}.*?(t-dialin|optonline|comcast)\.net/ REJECT Invalid hostname (D-risk)
/\d{2,}.*?(isp\.belgacom\.be|chello\.|gehc-cmms1\.co\.uk|mundo-r\.com|sb\.brewet\.pl|adelphia\.net|affinity\.com|home\.nl|virtua\.com\.br|nckcn\.co
m|brewet\.pl|\.jp$|\.cz$|\.pl$)/ REJECT Invalid hostname (D-risk)
/^(((newm|em|gm|m)ail|yandex|rambler|hotbox|chat|rbc|subscribe|spbnit)\.ru)$/ REJECT Faked hostname ($1)
/^(((mcim|newm|em)ail|post|hotbox|msn|microsoft|aol|news|compuserve|yahoo|google|earthlink|netscape)\.(com|net))$/ REJECT Faked hostname ($1)
# YAHOO use big numbers
/yahoo\.com/                    OK
#/\d{6,}/                       REJECT Invalid hostname (D6)
#/^localhost/                   REJECT localhost not allowed here

Выражение в для задания проверок в main.cf выглядит так (с учетом оптимизации трафика и вероятности попадания):
smtpd_sender_restrictions =
    reject_non_fqdn_sender,
    check_helo_access hash:/etc/postfix/helo_checks,
    check_helo_access pcre:/etc/postfix/helo_checks_pcre,
    check_sender_access hash:/etc/postfix/sender_checks,
    check_client_access hash:/etc/postfix/client_checks,
    check_sender_mx_access cidr:/etc/postfix/mx_access,
    reject_unknown_sender_domain,
    hash:/etc/postfix/access,
    reject_rbl_client relays.ordb.org,
    reject_rbl_client sbl.spamhaus.org
#    reject_unknown_hostname

Последняя строка закомментирована из-за кривости настройки DNS у некоторых почтовых админов (не прописан обратный резолв по адресу для почтовика). Хотя работает очень даже неплохо.

Файл mx_access:
# Netblock returned by Verisign domain hijacking .com and .net domains
64.94.110.0/24  REJECT 010 Verisign hijacked domain
# My Net
#192.168.82.0/24        OK
0.0.0.0/8       REJECT 020 Domain MX in broadcast network
10.0.0.0/8      REJECT 030 Domain MX in RFC 1918 private network
127.0.0.0/8     REJECT 040 Domain MX in loopback network
169.254.0.0/16  REJECT 050 Domain MX in link local network
172.16.0.0/12   REJECT 060 Domain MX in RFC 1918 private network
192.0.2.0/24    REJECT 070 Domain MX in TEST-NET network
#192.168.0.0/16 REJECT 080 Domain MX in RFC 1918 private network
224.0.0.0/4     REJECT 090 Domain MX in class D multicast network
240.0.0.0/5     REJECT 100 Domain MX in class E reserved network
248.0.0.0/5     REJECT 110 Domain MX in reserved network