Ao definir uma nova classe de restrição, o que você basicamente faz é dizer ao Postfix sobre uma nova restrição genérica que pode ser usada como as verificações incorporadas, por exemplo, "permit_mynetworks".
Isso exigirá que você especifique todas classes de restrição de uma só vez, ou seja,
smtpd_restriction_classes = local_only, insiders_only
insiders_only = ...
local_only = ...
Fazer isso desta maneira deve silenciar o aviso do postconf sobre um parâmetro não utilizado.
Quanto a onde colocar as restrições: Por padrão, o parâmetro "smtpd_delay_reject" é definido como "yes", o que significa que mesmo smtpd_ (client | sender) _restrictions só será avaliado após "rctp para: < ... >" palco. Por esta razão, tem sido um conselho de longa data simplesmente recolher todas as restrições dentro de smtpd_recipient_restrictions. No seu caso, onde o remetente "restrict01 @ ..." só deveria poder enviar para destinos internos, você provavelmente poderia usar algo assim como um bom ponto de partida:
smtpd_recipient_restrictions =
reject_non_fqdn_sender
reject_non_fqdn_recipient
reject_unlisted_sender
reject_unlisted_recipient
reject_unknown_sender_domain
reject_unknown_recipient_domain
check_sender_access hash:/etc/postfix/restricted_senders
permit_mynetworks
allow_sasl_authenticated
reject_unauth_destination
check_policy_service inet:127.0.0.1:10023
reject_rbl_client zen.spamhaus.org
permit_auth_destination
reject
smtpd_restriction_classes = local_only
local_only = check_recipient_access hash:/etc/postfix/local_domains, reject
Outra coisa a notar é que (provavelmente) é uma má ideia retornar um "OK" de um mapa de acesso antes de verificar as credenciais do cliente. Portanto, o arquivo "/ etc / postfix / local_domains" deve conter uma linha como
example.com DUNNO
Isso forçará o remetente restrito a autenticar com SASL ou estar dentro de $ mynetworks. Como você pode ver, você pode se safar com uma classe de restrição e se livrar das restrições de smtpd_ (sender | client).