1) дело не в дыре а в системных алиасах на юзеров
postmaster и default
насколько я помню если default прописан то принимается письмо для любого адреса в твоём домене и если юзер не существует, то письмо форвардится на default
2) с другой сторны qmail-smtpd принимает почту целиом и только потом решает что с ней делать. в этом случае поможет патч (точно не помню но кажется qmail-auth). В любом случае сходи на www.ru.qmail.org - там есть много чего
3)>>> mail from: <spamtest@idg4.chph.ras.ru>
<<< 250 ok
>>> rcpt to: <nobody%mail-abuse.org@idg4.chph.ras.ru>
а фигли вы хотели в данном случае? Если вам на 25 порт суют письмо адресованное на ваш домен то это не релей а доставка. и кумыло совершенно справедливо пишет 250 и принимает письмо(и только потом решает что с ним делать)
единственное достоинство кумыла - это его простота
хотите большего- милости просим: postfix или exim