Разрешить отправку postfix-у только с определенного IP адреса (debian)

Ты имеешь ввиду разрешить только определенным клиентам отправку почты? Или использовать определенный интерфейс и IP-адрес для отправки писем с самого сервера?

А у Вас не openrelay случайно получился(через прокси, или ещё как)?

если взломали, тогда ограничение в постфиксе не поможет.
проверьте сервер на openrelay, и нет ли у пользователей простых паролей?
например alex:123456 и подобное брутится легко

Пароль ядерный, подобрать невозможно. Плюс fail2ban. Релея нет.

Отправка клиентом происходит, IP адрес постоянный, вот подумал, может так попытаться

permit_mynetworks и соответствующие настройка mynetworks, не?

Но через шелл с самого сервера это отправку не отменит

Я опасаюсь что-нибудь окончательно сломать :)

и постоянно долбится кто-то постоянно: SASL LOGIN authentication failed: authentication failure

а по last всё чисто....

обычное дело. боты не дремлют.
нужно локализовать откуда идет рассылка

и постоянно долбится кто-то постоянно: SASL LOGIN authentication failed: authentication failure

Пока не продалбываются это вообще не проблема. Пусть хоть в 25 порт долбятс, хоть в анус.
Ну можно банить фаерволом особо активных долбоёжиков.

Взломали, думаю может так отстанут... как понять что и как? :) Через шелл походу, т.к. в логах не вижу никаких авторизаций

Что ты знаешь, и почему ты думаешь что ты это знаешь?
Что указывает на то что «взломали»?

Если сервер контролируется плохим парнем то изменение настроек сервера не поможет тебе остановить его деятельность (если только это изменение настроек не отнимет у него контроль над сервером). Он просто придёт и перенастроит всё обратно. Нужно устранять первопричину — изгонять из сервера злой дух (: Ковырять постфикс бесполезно.

Другое дело если плохой парень просто использует некорректные настройки сервера в своих гнусных целях, тогда надо изменять эти настройки.

Сообщения в очереди, которые никто не отправлял с ошибкой: temporary failure. Command output: /usr/bin/maildrop: Unable to change to home directory.

Сообщения откуда куда? В смысле кто получатель и отправитель? Судя по попытке скормить их мэйлдропу письма адресованы одному из доменов сервера.
Смотри логи постфикса на предмет прохождения этих писем.

find /boot /usr/bin /bin /sbin /etc/cron* -mtime -30

показывает мне вообще безпалевно: /boot /boot/initrd.img-3.2.0-4-amd64 /boot/grub /boot/grub/menu.lst~ /boot/grub/menu.lst /usr/bin /usr/bin/cc /usr/bin/c89 /usr/bin/fakeroot /usr/bin/c99 /usr/bin/c++ /bin /sbin /etc/cron.daily

при чем я не врубаюсь !КАК! php отключен mysql тоже всё что есть это html на апаче и нгинх...

И неподбираемый пароль рута — qWeRtY2.
И подключения к SSH только из самой защищённой ОС — Windows XP.
И пароль рута не знает никто, кроме десятка человек которым в разное время нужно было предоставить доступ к серверу.

Это так, всего-лишь предположения.

cat /etc/cron.daily покажи

неподбираемый типа 37ерВ7кр3190а7А Вин7 макс лицензия :)

cat: /etc/cron.daily: Is a directory

ls

0anacron  apt       bsdmainutils  logrotate  mlocate  popularity-contest
apache2   aptitude  dpkg          man-db     passwd