I can whitelist by host or by sender, but not both.
na verdade você poderia. Tudo que você precisa é usar smtpd_restriction_classes
smtpd_restriction_classes = sender_white_list
sender_white_list = check_client_access hash:/etc/postfix/check_client_access, reject
smtpd_helo_restrictions =
check_helo_access hash:/etc/postfix/check_helo_access
permit_mynetworks
permit_sasl_authenticated
/etc/postfix/check_helo_access
emailsecurity.domain.com sender_white_list
/etc/postfix/check_client_access
80.118.5.170 OK