皆さん、ありがとうございます。

>>734,735
とりあえず、 check_client_access を helo_restrictions の配下、 check_helo_access の直後に移動してみました。
client_check は、ちゃんと動作している模様です。
helo は、まだふざけたのが来ていないので、解りませんが、多分いけそう。

>>736
勿論、冗談ですよね。

>>737
>> smtp_delay_reject
noにすると面白そうではありますが、やはり reject したアクセスの helo と form: rcpt to: は目視確認してみたいし、
それに下手に即断して相手のツールの挙動がおかしくなったりしたら、無用の恨みを買いそう。