O comando EHLO / HELO SMTP (que é o que o check_helo_access funciona) só tem um nome de host como dados, de modo que é tudo o que este filtro em particular pode operar. Portanto, você não pode usar o arquivo check_helo_access para permitir remetentes específicos de um hostname / domínio que você está bloqueando com ele.
Você deve receber mensagens de usuários específicos neste domínio, permita-as com check_helo_access.
Então você pode usar, se bem me lembro, o sender_access para permitir endereços específicos e bloquear todo o resto deste domínio.
Uma boa maneira de pensar nessas verificações no postfix é que cada uma opera em uma parte específica da conversa SMTP - que, por sua vez, tem dados específicos. Domínio entra em jogo com o HELO. O RCPT TO envolve o endereço local para entrega. MAIL FROM envolve o endereço do remetente. E assim por diante. Identifique em qual parte da conversa SMTP você deseja filtrar e, em seguida, use a verificação do Postfix associada a ela.