まずは /etc/postfix/heloaccess を用意して、 postmap /etc/postfix/heloaccess しておく。 内容は以下の通り:

example.com REJECT

次に /etc/postfix/main.cf に以下のような設定を追加して、 postfix reload する:

smtpdhelorestrictions =
checkheloaccess hash:/etc/postfix/heloaccess

何で素直に exmaple.com だけを対象にしないのかね、まったく。 ちなみにこれと同じ変な仕様は、Apache の modaccess にもある。 いや待てよ、もしかしたら、これがいわゆる「普通」なのかも?! だとしたらちょっと狂ってる。 qmail-smtpd(8) の rcpthosts ファイルのように、 exmaple.com だったら exmaple.com だけにマッチし、 .example.com だったら example.com のサブドメインすべてにマッチするという仕様のほうが、 ずっと直感的でわかりやすく、なおかつ使い易いと思う。

気をとりなおして access(5) を斜め読みしてから、 /etc/postfix/heloaccess を以下のように変更してみた:

.example.com DUNNO
example.com REJECT

もう一度 access(5) をようく読んだところ、 parentdomainmatchessubdomains が元凶であることが判明。 そこで /etc/postfix/main.cf に以下を追加して無効にすることにした:

parentdomainmatchessubdomains =

/etc/postfix/heloaccess を最初のものに戻して試したところ、今度は成功した。