Em primeiro lugar, a configuração padrão do postfix deve ser suficiente para impedir o uso do seu servidor como uma retransmissão aberta.
Isso se deve ao parâmetro smtpd_relay_restrictions
, que condiciona a aceitação de todos os e-mails a um destinatário local (antes do aliasing), autenticado usando sasl ou gerado localmente (por padrão).
Se você realmente precisa restringir mais especificamente, você pode usar a diretiva check_recipient_access
in smtpd_recipient_restrictions
. Ele permite que você configure um arquivo com a lista de endereços aceitos.