Nach mehrwöchigen Tests hier eine Konstellation die in meiner Testumgebung am besten funktioniert und am wenigsten „false positive“ gebracht hat.

Voraussetzung ist ein zusätzlich installiertes postgrey.

/etc/postfix/main.cf anpassen

[...]
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_recipient_domain, reject_non_fqdn_recipient, reject_unauth_destination, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_rbl_client zen.spamhaus.org, reject_rbl_client cbl.abuseat.org,reject_rbl_client dul.dnsbl.sorbs.net,reject_rbl_client ix.dnsbl.manitu.net, check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf, reject_unauth_destination, check_policy_service inet:127.0.0.1:10023, check_recipient_access mysql:/etc/postfix/mysql-virtual_policy_greylist.cf
[...]
smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_access regexp:/etc/postfix/tag_as_originating.re , permit_mynetworks, permit_sasl_authenticated, check_sender_access mysql:/etc/postfix/mysql-virtual_sender.cf, check_sender_access regexp:/etc/postfix/tag_as_foreign.re
[...]

postfix restart

/etc/init.d/postfix restart

Bedingt durch die Greylist können sich mails ca. 5 Minuten verzögern.

Weiterhin sollte man die Logs im Auge behalten ob nicht irgend welche Mails gegen die Blacklist rennen.

tail -f /var/log/mail.log

Evtl. lohnt vorher ein Blick auf die schwarzen Listen mit Hilfe der mxtools usw.