Добавьте permit_sasl_authenticated рядом с permit_mynetworks. У Вас аутентифицированный клиент "пропускается" через все проверки, через которые должны пропускаться только попытки доставки почты с других серверов.
Та-а-ак. Спасибо большое, заработало. Правда, не сразу, в конце концов я добавил (или перенёс) цепочку
permit_mynetworks, permit_sasl_authenticated в начало каждой цепочки, они выглядят сейчас так:
smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated,
reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname,
reject_unknown_helo_hostname, permit
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated,
reject_unknown_client_hostname, reject_unknown_sender_domain,
reject_unknown_recipient_domain, reject_unauth_pipelining,
reject_unauth_destination, reject_invalid_hostname,
reject_non_fqdn_sender
smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unknown_sender_domain,
reject_sender_login_mismatch
Подскажите, пожалуйста, нет ли тут чего-нибудь лишнего или небезопасного?
И чтобы два раза не вставать: подскажите, пожалуйста, безопасно ли заносить в mynetworks локалку? Все клиенты (пока) ходят только с аутентификацией. Как поступать, если вдруг появится тупой клиент не на самом сервере, который внезапно не умеет TLS, но которого кровь из носу надо разрешать отправлять почту с какого-нибудь хоста — по имени или по IP?