"550 Access denied - Invalid HELO name" when emails are sent to certain domains

If Bruce says it, you can take it to the bank! [;)]

Turboizzy, if you want to post the relevant lines here from the SMTP log, I bet we can see if the other side actually bounces the email or if the Astaro rules it "bounced" because the other side is broken.

Cheers - Bob

already checked on mxtoolbox, first things to make sure I don't have any blacklisting issues

220 Astaro ESMTP ready.
Test Result Hide
SMTP Reverse Dns OK - 81.137.39.162 resolves to host81-137-39-162.in-addr.btopenworld.com
SMTP Reverse DNS Mismatch Warning - Reverse DNS does not match SMTP Banner Ignore
SMTP TLS OK - Supports TLS.
SMTP Connection Time 0 seconds - Good on Connection time
SMTP Open Relay OK - Not an open relay.
SMTP Transaction Time 0.718 seconds - Good on Transaction Time
Session Transcript:
EHLO please-read-policy.mxtoolbox.com
250-Astaro Hello mxtb-pws3.mxtoolbox.com [64.20.227.133]
250-SIZE 52428800
250-PIPELINING
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP [140 ms]
MAIL FROM: 
250 OK [156 ms]
RCPT TO: 
550 Relay not permitted [140 ms]

apart from the "MTP Reverse DNS Mismatch Warning - Reverse DNS does not match SMTP Banner Ignore" error everything is fine. Emails have been coming and going all day

Here's the line from the Astaro log:

2012-11-11 11:46:00 sales@hostgods.net P= R=dnslookup T=remote_smtp: SMTP error from remote mail server after MAIL FROM: SIZE=9180: host hostgods.net [5.9.131.20]: 550 Access denied - Invalid HELO name (See RFC2821 4.1.1.1)

apart from the "SMTP Reverse DNS Mismatch Warning - Reverse DNS does not match SMTP Banner Ignore" error everything is fine. Emails have been coming and going all day

That is PRECISELY your problem.  If you were to send email to me, to my address on our corporate email system, you would get dropped.  We (in the Sophos UTM) do RDNS checks on incoming smtp connections; if you don't have a valid PTR record for the IP sending the email, you get dropped.  Anti-Spam engines use this check to weed out zombie mail senders, and it's pretty effective.  You also need to configure the banner name (in your astaro) to match whatever record you configure.

It's part of best practices to configure a PTR record for your external IP that points back at the A record that you have configured as a MX mail exchanger;  I suggest you contact your ISP (typically they handle PTR records for your external IP(s) ) and have them add the record in for you.  If you own your own assigned range, you are typically responsible for the RDNS setup.

Just to underline what Bruce is telling you, 65.Y.X.81.in-addr.arpa resolves to a generic btopenworld.com name instead of the SMTP hostname of your Astaro.

Telnetting on port 25 to your IP and saying HELO hi, I see the hostname is "Astaro" instead of some complete FQDN like astaro.mnisystems.co.uk.

Checking the Whois for mnisystems.co.uk indicates that you use DynDNS, so maybe what Bruce and I are saying above doesn't apply.  I'll guess that you're already using DynDNS as your smart host, and that you're using their standard SMTP service.  If you upgrade to the next level (about US$10/month), you'll get reverse DNS.

Cheers - Bob

Thanks for your responses guys, as you said Bruce I will contact BT to find out if I can change the PTR records. As I have 6 static IP addresses from them and a business line I don't envisage there being a problem.

BAlfson I actually only use DynDns for incoming mail just in case my connection were to fail. For all outgoing mail they go directly from us to the the recipient mail server. I have just checked by telnetting and it does say Astaro. Surely changing the FQDN within web admin will change this ? I only ask because I have made the change under hostname in UTM but when Telnetting I still get the Astaro HELO response.

@turbodizzy:  Check the override on the advanced tab of the mail proxy.  Scroll down towards the bottom and you'll find an advanced settings section.  Look for the text box labelled SMTP hostname.

Turboizzy, I would change the hostname back to Astaro and just put the FQDN where Scott suggests.  

Here's the real problem - you can't have RDNS unless you have a fixed IP; either that or you need to change the SMTP hostname every time you get a new IP.

DynDNS can sell you the service I suggested, and that will resolve your issue; there are other suppliers of this same service, but no free ones.  The alternative is to stop using DynDNS altogether and get a fixed IP.

Cheers - Bob