>Наверное я неправильно выразил свои потребности.

Не, все правильно, я так и понял.

>Почитал этот
>man - ничего похожего не нашел... или не понял :(

Я не говорил, что там это есть :) Но просто он наиболее похож в данном случае. Сам я такого не делал.

Я вижу несколько возможных путей сделать это. Не факт, что все они рабочие, но можно попробовать.
Главная проблема, что юзеры могут указать любой обратный адрес, в твоем примере vasja@dom.domain.local, и посылать почту куда угодно.

Если тебя это не волнует, то посмотри еще на man 5 access (особенно FILTER) и попытайся их как-то скомбинировать (transport дает возможность указать как посылать письмо, а access - от кого принимать). М.б. еще virtual - он позволяет менять адресата.
Первая попытка - в прописать а access:

users.dom.domain.local reject_unauth_destination

И убедиться, что этот файл указан в smtpd_sender_restrictions.

Если же хочется защититься от подмены адресов, то тогда обязательно sasl. И тогда можно в access указывать permit_sasl_authenticated (если верить документации).

Но возможно, самым простым путем будет запустить для постфикса: один с авторизацией для @dom.domain.local; второй - для остальных.

Повторюсь, все это чисто теоритические рассуждения. Но, например, я делать как-то другую забавную штуку - перехватывать все письма с сервера и пересылать их на один ящик; использовал virtual.