Como você só permite explicitamente usuários autenticados pelo SASL, se o usuário não for autenticado, a próxima restrição em linha será verificada - que é mynetworks, o que acontece para corresponder.
Portanto, totalmente devido à sua regra, é permitido que clientes não-auth sejam autorizados de suas redes confiáveis.
Em vez disso, considere configurá-lo assim:
smtpd_client_restrictions = permit_sasl_authenticated, reject
smtpd_recipient_restrictions = permit_mynetworks, reject
OBSERVE que quando você aplica isto à sua porta externa 25 smtpd listener, isto fará com que você não receba emails da internet, nunca.