Descobri isso. Você precisa ter certeza de que o e-mail foi rejeitado, em vez de devolvido e também definir unverified_recipient_reject_reason para evitar revelar a mensagem real. Eu tentei isso antes, mas o truque era a ordem das cláusulas em smtpd_recipient_restrictions :
smtpd_recipient_restrictions = reject_unknown_recipient_domain, reject_unverified_recipient, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
unverified_recipient_reject_reason = Recipient address verification failed
Anteriormente, eu tinha as duas restrições permitir antes reject_unverified_recipient , para que elas fossem processadas primeiro e as mensagens de qualquer remetente local ou autenticado não estivessem sujeitas à verificação do endereço do destinatário. Ele só falhou mais tarde, depois de ser aceito, e gerou uma mensagem de devolução.
Isso ainda não é perfeito, porque o MTA final pode enviar uma mensagem devolvida ao remetente original, mas não há nada que você possa fazer sobre isso. Tópico relevante da lista de discussão do Postfix: link