Eu descobri o problema. O IPv6 foi ativado na interface de saída e as mensagens com falha foram obtidas do endereço IP6. Ip6 desativado e tudo funciona.
Estou usando o postfix como uma solução somente de envio de um servidor debian. O servidor é um subdomínio, tenho e um conjunto de registros SPF para o subdomínio da seguinte forma:
"v=spf1 a -all"
Obviamente, há um registro A apontando o subdomínio para o IP correto. Os e-mails vêm do [email protected].
O que estou perdendo aqui? O nome do host do servidor não é o mesmo que o subdomínio, mas não imagino que seja importante definir o postfix para usar subdomain.example.com.
Parece que todos os outros e-mails são marcados como não sendo capazes de confirmar.
EDITAR:
Também devo observar que o domínio principal também é usado para email e possui seus próprios registros SPF. Ele usa o G-Suite (G-apps).