smtpd_recipient_restrictions / smtpd_relay_restrictions

[Thomas Krause]

Guten Abend,
ich bin gerade beim Migrieren eines sehr alten Servers.
Beim "neuen" möchte ich die "relay/sasl Nutzer" anders
behandeln als den Mailempfang über das Internet.
Dabei habe ich herausgefunden, dass standardmässig zunächst
die smtpd_relay_restrictions und anschliessend die
smtpd_recipient_restrictions abgearbeitet werden.
Das würde ich gern ändern, dass smtpd_relay_restrictions nur
für relay/sasl-Nutzer (587/465) und smtpd_recipient_restrictions
für eingehende Mails (25). In der master.cf habe ich konfiguriert:

smtp      inet  n       -       y       -       1       postscreen

smtpd     pass  -       -       y       -       -       smtpd
   ...
   -o smtpd_relay_restrictions=

dnsblog   unix  -       -       y       -       0       dnsblog
tlsproxy  unix  -       -       y       -       0       tlsproxy

submission inet n       -       y       -       -       smtpd
   ...
   -o smtpd_recipient_restrictions=

smtps     inet  n       -       y       -       -       smtpd
   ...
   -o smtpd_recipient_restrictions=

und in der main.cf
smtpd_relay_restrictions =
   reject_unlisted_sender
   # postfwd
   check_policy_service { inet:127.0.0.1:10041, default_action=DUNNO }
   permit_sasl_authenticated
   defer_unauth_destination

smtpd_recipient_restrictions =
  reject_unauth_destination
  reject_unknown_recipient_domain
  check_policy_service { unix:private/policyd-spf, default_action=DUNNO }

Frage: ist das sinnvoll/sicher, und: verträgt sich das mit postscreen?
Danke u. Grüße,
Thomas.