(1) A maneira mais fácil de identificar o Postfix é provavelmente a correspondência iptables --owner --uid-owner postfix , para especificar o usuário do Postfix. Você também pode executar o Postfix em seu próprio namespace de rede ou cgroup, semelhante às soluções em Bloquear o acesso à rede de um processo? (e permitir apenas que o namespace ou o cgroup originem o tráfego SMTP).
(2) Um script executando sendmail já possui autenticação: está sendo executado como usuário em seu sistema. Na verdade, existem várias coisas que fazem uso dessa interface. O Cron é um, mas também um monte de scripts aleatórios - praticamente tudo no sistema que envia e-mails o utiliza. Mesmo os MUAs instalados (mutt, etc.) geralmente usarão como padrão.
Você pode presumivelmente bloqueá-lo para apenas alguns usuários, usando permissões do sistema de arquivos (torná-lo apenas executável para um determinado grupo ou usuários específicos usando ACLs) ou provavelmente configuração Postfix (embora eu pessoalmente use o Exim, então não sei como) .