spf для ip

Ну так сделай у каждого домена spf c этим IP, а на самом сервере проверяй mail from.

уже сделаны spf и dkim.
проблема в том, что это ip шлюза, за nat'ом корпоративная сеть, ip не первый раз попадает в бан spamhaus'а, притом спам не проходит через mail сервер, а идет напрямую от неустановленных рабочих станций, куда-то наружу.
авирь на рабочих станциях стоит, spamhaus cbl заявляет, что это бот kelihos.

проблема в том, что это ip шлюза, за nat'ом корпоративная сеть, ip не первый раз попадает в бан spamhaus'а

Хе-хе... :-)

HOST=`hostname`
IP=`host $HOST|grep "has address"|sed "s/.* //"`

iptables -t nat -I PREROUTING -s 192.168.0.0/16 -p tcp --dport 25 -j DNAT --to $IP

Ну или вообще запретить форвард для -p tcp --dport 25 с выводом в лог, чтобы знать, кто долбится.

Нельзя запретить использовать внешние smtp сервера, тк многие сотрудники их используют. Спам гарантировано летит не через наш сервер, но из нашей сети.

спам не проходит через mail сервер, а идет напрямую от неустановленных рабочих станций, куда-то наружу

iptables -I FORWARD -p tcp -m tcp -m multiport --dports 25,465 -s 192.168.0.0/16 -j DROP

Нельзя запретить использовать внешние smtp сервера

На самом деле и можно, и нужно. Вопрос только в том, какой из двух способов выбрать - запретить совсем, и чтобы руками smtp-сервер вписывали корпоративный, или же прозрачный редирект на него же. Слать через какой-то далёкий SMTP вовсе не обязательно (да, привет всяким идиотским SPF/DKIM :-) ).

Нельзя запретить использовать внешние smtp сервера

Можно и нужно запретить соединения наружу на 25 порт: MUA там нечего делать, им нужно ходить куда-нибудь на 587 (по RFC) или 465, а неподконтрольных MTA у тебя внутри быть не может.

Можно установить для 25 порта лимит на количество соединений с в единицу времени например. Можно логгировать соединения на 25 порт и разбираться кто гадит.

Благодарю, логгирование помогло, обнаружили и выкурили ботов.