Владимир Дубровин

В postfix есть встроенные рейтлимиты, но, к сожалению, они только по IP а не по пользователям. Для более детального лимитирования можно использовать policyd
https://wiki.policyd.org/ или другие фильтры работающие с постфикс по протоколу Policy
www.postfix.org/addon.html#policy

Это неправильная схема, соответственно выше к ней неправильные комментарии.

MTA (mail transfer agent) используется для обмена почтой между серверами, MDA (mail delivery agent) для локальной доставки письма в почтовый ящик, и MTA и MDA работают на почтовых серверах. MTA и MDA могут быть частями одной почтовой программы (большая часть MTA в той или иной степени поддерживают локальную доставку), а могут быть разными приложениями. Но к компьютеру ползователя ни MTA ни MDA не имеют отношения, они работают на почтовом сервере. MUA используется для получения письма из почтового ящика, создания письма, передачи письма MTA.
Схема такая:
1. MUA формирует письмо. В качестве MUA может выступать почтовая программа или веб-интерфейс.
2. MUA передает письмо MTA отправителя (relay), в случае почтовой программы через протокол SMTP Submission (SMTP с авторизацией), в случае веб-интерфейса обычно напрямую.
3. MTA отправителя (relay) определяет MTA получателя (mail exchanger) через MX или A записи DNS.
4. MTA отправителя (relay) передает письмо на MTA получателя (mail exchanger) по протоколу SMTP (без аутентификации)
5. MTA получателя либо передает письмо MDA для локальной доставки в почтовый ящик (обычный путь доставки) либо передает письмо другому MTA, например если в ящике установлено перенаправление.
6. MDA кладет письмо в ящик получателя
7. MUA получателя получает письмо из ящика через протоколы POP3, IMAP4 или веб-интерфейс

Скорей всего, не проходит SPF-авторизация отправленных писем, проверьте по заголовкам. Во избежание спама через автоответы (формируется автоответчик со спамным текстом и на него шлются письма с поддельных адресов, в результате на поддельные адреса приходит спам из автоответа), автооветы обычно отправляются только на авторизованные адреса.

Скорей всего, имеется ввиду использование reverse proxy, например nginx.
Причины могут быть разные, например объединить несколько физических серверов в один виртуальный, ускорить отдачу статики, сделать единую поддержку TLS или HTTP/2, маршрутизировать запросы исходя из какой-то определенной логики и т.д.

Можно, есть несколько вариантов:
1. Настроить проброс порта на самом прокси
2. Использовать соксификатор локально
3. Поднять дополнительный прокси с пробросом порта через основной прокси. Например в 3proxy

auth iponly
allow *
parent 1000 connect+ proxy_ip proxy_port proxy_login proxy_password
tcppm -iлокальный_адрес 33389 target_ip 33389

коннектиться RDP-клиентом на локальный_адрес:33389.

5.45.198.249 в _spf.yandex.net попадает (но лучше использовать _spf.yandex.ru - это сэкономит одно лишнее разрешение имени).
https://mxtoolbox.com/SuperTool.aspx?action=spf%3a...

Скорей всего, либо вы недавно обновили SPF-записи и mail-tester.com использует кэшированную, или по какой-то причине она не обновилась, например забыли serial number увеличить.

Heartbleed это потенциально более серьезная уязвимость, чем просто получение секретного ключа, т.к. позволяет угонять любые данные из памяти сервера.
Доступ к секретному ключу позволяет только проводить атаки MitM и обходить certificate pinning, но при наличии Forward Secrecy - только активные в реальном времени с подменой сертификата, т.е. декодировать данные при пассивной прослушке или восстановить ранее переданные и перехваченные данные нельзя, даже имея доступ к ключу.

Суммы выплат за подобные уязвимости определяются реальным импактом уязвимости (при каких настройках она реально работает и какие сервисы затрагивает), текущим спросом на этот импакт, и умением торговаться, и тем, на каком рынке они продаются - белом, сером или черном, и могут быть очень индивидуальны, от десятков тысяч до миллионов долларов. За Heartbleed было выплачено $15000 в качестве поощрения https://hackerone.com/reports/6626 - но у репортера не было цели заработать, и даже эти деньги ушли в благотворительный фонд.

Не очень понятно, что вы хотите. RFC это не формат, это серия стандартов. IETF это организация, которая публикует RFC, других "сервисов их публикации" нет и быть не может, но есть https://www.rfc-editor.org/ для разработчиков RFC, который функционирует как контрактор IETF. Старые стандарты есть только в тексте, новые публикуются в нескольких форматах, внутри используется XML, формат которого определен в RFC2629/RFC7749/RFC7991, есть несколько тулзов переводящих этот формат в HTML, nroff (man), etc, например
https://pypi.python.org/pypi/xml2rfc/

Спамкоп шлет по abuse-контктам whois (если есть), по обычным контактам если нет abuse и по ролевым адресам домена (если есть спамная ссылка с именем домена).
Скорей всего еще по контактам abuse.net - но не уверен.
Репортер может выбрать адреса, кому отправлять, кому не отправлять.

У вас там в %c русская c вместо латинской c.

Не надо так делать. Windows начиная с Windows 2000 использует DNS как основной способ регистрации имен, WINS вообще не используется по умолчанию в последних версиях Windows.
Для регистрации в DNS используется основной суффикс или суффикс сетевого подключения. Основной суффикс конфигурируется в свойствах компьютера, там же где имя. Для компьютеров домена основным суффиксом является имя домена. Суффикс подключения конфигурируется в настройках TCP/IP в свойствах сетевого адаптера + его можно отдать по DHCP.
Если у вас нет домена, то необходимо разрешить динамическую регистрацию в DNS-зоне без авторизации. Разумеется, зона должна быть внутренней, не должна светиться в интернет.

8-битные символы в URI необходимо кодировать (encodeURI)

Так сделайте что просят. Для керберос сначала необходимо у сервера Керберос получить TGT (ticket grantering ticket), только потом с ним можно идти на сервер IMAP и авторизоваться уже на сервере IMAP. TGT можно получить с помощью kinit.
например, здесь инструкция:
directory.apache.org/apacheds/kerberos-ug/4.1-auth...

Если у вас отключена поддержка IPv6 будет запрашиваться только A. Если не отключена, то, в зависимости от браузера и настроек ОС, возможно 3 варианта:
1. Будет запрашиваться A и в случае неуспеха AAA (фолбек на IPv6)
2. Будет запрашиваться AAA и в случае неуспеха A (фолбек на IPv4)
3. Всегда будет запрашиваться A и AAA.

P.S. host выводит все найденные A, AAA и MX записи. Если выводит только A - значит других нет.