Normalmente, quando o postfix não está enviando spam, é o servidor da Web.
Portanto, eu usaria o tcpdump para ver se algum spam é enviado e, em seguida, pare o apache e verifique com o tcpdump se algum spam ainda é enviado.
Agora há outro ponto em questão que eu gosto: "Como posso monitorar qual processo usa o número TCP 12345 da porta? Um tipo de lsof interativo ou netstat -ntp"
Eu acho que o iftop não pode fazer o truque.
Esta é IMHO, a parte realmente interessante na sua pergunta e você deve perguntar novamente como uma questão independente, pois pode ser interessante para muitos leitores.