Ce qui suit est inspiré des documentations officielles de Postfix et de Spamhaus.

Les restrictions sont un bon moyen d'éviter de propager et de recevoir des «spams». Il en existe au moins une qui est absolument nécessaire: reject_unauth_destination sans laquelle le MTA serait un relais ouvert. Cette restriction peut de placer dans l'un des deux paragraphes suivants.

Ce paragraphe de restrictions peut être omis si son contenu est ajouté au paragraphe suivant.

smtpd_relay_restrictions = 
    permit_mynetworks, 
    permit_sasl_authenticated,
    reject_unauth_destination

• permit_mynetworks autorise le relais des clients dont l'adresse IP figure dans mynetworks,
• permit_sasl_authenticated autorise également le relais des clients qui se sont authentifiés via SASL.

Autrement, si le domaine de destination n'est pas géré localement, Postfix refuse de relayer le message. Ceci permet d'éviter ce qui est connu comme «relais ouvert» dont les «spammers» sont friands.

Dans main.cf, ajoutons:

smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_rbl_client zen.spamhaus.org=127.0.0.[2..11],
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.[2..99],
    reject_rhsbl_helo dbl.spamhaus.org=127.0.1.[2..99],
    reject_rhsbl_reverse_client dbl.spamhaus.org=127.0.1.[2..99],
    warn_if_reject reject_rbl_client zen.spamhaus.org=127.255.255.[1..255]

Les lignes rouges et orange sont directement issues de la documentation officielle de Spamhaus. Voir la page suivante pour plus de détails.

Les possibilités de restrictions sont bien plus nombreuses. Celles vues ci-dessus étant les plus importantes.