Eu fiz algumas pesquisas e o Postfix está usando SASL para autenticação, que está autenticando contra o correio local-imapd - daí os logs.
Recentemente, vi alguns logs de e-mail antigos e me deparei com isso:
Jun 12 14:51:56 hostname imapd: LOGIN FAILED, user=Purple, ip=[::ffff:127.0.0.1]
Jun 12 14:51:56 hostname postfix/smtpd[21538]: disconnect from 75-145-26-162-Washington.hfc.comcastbusiness.net[75.145.26.162]
Jun 12 14:51:58 hostname postfix/smtpd[21536]: connect from 75-145-26-162-Washington.hfc.comcastbusiness.net[75.145.26.162]
Jun 12 14:52:02 hostname postfix/smtpd[21537]: disconnect from 75-145-26-162-Washington.hfc.comcastbusiness.net[75.145.26.162]
Jun 12 14:52:03 hostname imapd: LOGIN FAILED, user=Sports, ip=[::ffff:127.0.0.1]
Jun 12 14:52:07 hostname postfix/smtpd[21559]: connect from 75-145-26-162-Washington.hfc.comcastbusiness.net[75.145.26.162]
Jun 12 14:52:09 hostname postfix/smtpd[21536]: disconnect from 75-145-26-162-Washington.hfc.comcastbusiness.net[75.145.26.162]
Jun 12 14:52:11 hostname imapd: LOGIN FAILED, user=dragon, ip=[::ffff:127.0.0.1]
Jun 12 14:52:14 hostname postfix/smtpd[21562]: connect from 75-145-26-162-Washington.hfc.comcastbusiness.net[75.145.26.162]
Jun 12 14:52:17 hostname postfix/smtpd[21559]: disconnect from 75-145-26-162-Washington.hfc.comcastbusiness.net[75.145.26.162]
Jun 12 14:52:18 hostname imapd: LOGIN FAILED, user=michael, ip=[::ffff:127.0.0.1]
Por que o courier-imapd estaria relatando falhas de login vindas do 127.0.0.1?
Editar: Enquanto o squirrelmail está instalado, ele é restrito a um endereço IP, e não há registros indicando que ele foi acessado. Além disso, eu sou o único usuário da máquina, então definitivamente não sou eu. : -)
webmail de esquilo (ou qualquer outro) vem à minha mente ...
Você provavelmente tem um webmail instalado no mesmo servidor, então a autenticação está vindo do host local (127.0.0.1 é localhost)
Como foi mencionado, ele teria que ser algo na máquina local conectando-se ao servidor de correio via loopback local (ou usando "localhost" como o nome do servidor).
Mais comumente, webmail, mas pode ser qualquer coisa que tenha a capacidade de falar através desta "interface" .. Ex: se você estivesse executando algum MUA na máquina, isso poderia estar causando esse comportamento. Ou alternativamente, se você estiver executando um servidor web e tiver código que usa a função imap_open () do php e usando "localhost" como o nome do servidor de correio .. ou (insira uma outra linguagem que rode na máquina que poderia estar fazendo isso)Verifique os logs do servidor da web ao mesmo tempo em que o imapd falha no login. Então você pode confirmar ou não o acesso feito pelo Squirrelmail e de onde.