Uma tabela check_mumble_access nunca retornará um valor padrão de REJECT; o padrão de queda é sempre DUNNO, o que significa que verificará o restante das restrições.
Você também não deseja retornar OK para todos os domínios que deseja permitir, pois isso não verifica o restante das restrições.
Você deve configurar o envio na porta 587 com o SASL e o TLS para enviar e-mails para a máquina do postfix; esse ouvinte dedicado pode permitir tráfego apenas para o domínio.
Caso contrário, você terá que criar um restriction_class para ele, para que os allow_checks sejam dependentes do destinatário (domínio) E do remetente (domínio).
Este é um exercício não trivial.