>Я же сказал - сервис вешается на другой порт, и _для своей
>сети_ _файрволлом_ делается DNAT. Своя сеть стучится на обычный порт, а
>файрволл заворачивает на "нестандарнтный" даймон.
>
>Не своя сеть файрволлом не трогается, и попадает на обычный сервис.

Допустим я повесил сервис на другой порт, и занатил свою сеть, не меняя у клиентов никаких настроек. Но этого ведь мало. Нужно чтобы публичный сервис не поддерживал авторизацию, но принимал письма извне.
Можно привести хотя бы краткий пример настройки !?

>В более навороченных случаях - можно пропатчить постфикс и сформировать в нём
>передачу переменной, содержащей IP подключения в SQL-запросы к БД, и использовать
>её уже там - это будет более гибко, поскольку позволит разрешать
>авторизацию "из всего интернета"  для пользователей, "проплативших соответствующую услугу".

Можно поподробнее об этом варианте ?

PS. Честно говоря, я не совсем понимаю принципа срабатывания правил в постфиксе. Сейчас срабатывает первое совпавшее правило и остальные остаются как бы бесполезными. Т.е. если отработало permit_sasl_authenticated, то следующие правила уже не смотрятся и клиент может быть кем угодно и отправлять что угодно, хотя тот же Qmail можно настроить так, чтобы помимо авторизации у клиента проверялся его айпи, указанный либо конкретной сетью, либо проверялся через sbl.spamhaus.org. Как подобное реализовать в постфиксе для меня загадка.