Sans argument, le comportement par défaut est PAM.
Ensuite, pour tester, il va falloir se connecter en SMTP, le plus simple est d'utiliser telnet. Vous pouvez par exemple exposer sur l'hôte le port 25, ou encore insérer un bash dans le conteneur.
Comme son nom l'indique, l'AUTH PLAIN est en texte clair. Il est donc important que le canal qui l'entoure soit sécurisé: SMTP avec une couche de SSL/TLS, ou encore un docker network.
On peut s'authentifier au serveur en utilisant des couples (login, mot de passe) totalement indépendant des boîtes mails. Ces couples viennent de la source choisie (PAM, rIMAP, LDAP). Il n'y a pas de bind avec la source permettant de contrôler l'existence des adresses mails*: le SASL permet seulement de protéger le serveur, mais une fois qu'on est dedans, on peut faire ce qu'on veut. Cependant, la configuration de postfix permettra (à terme) de réagir différemment selon que l'utilisateur est authentifié ou non. (Par exemple, on pourra autoriser tout le monde à envoyer du courrier à des adresses @picasoft.net, et autoriser seulement les utilisateurs authentifiés à envoyer du courrier en tant qu'une adresse @picasoft.net).
\*En effet, le conteneur reconnaît deux adresses et boîtes mails crées arbitrairement: mail1@picasoft.net et mail2@picasoft.net. On peut donc envoyer des mails en tant que / à ces adresses, et recevoir des mails à ces adresses sur le MDA s'il est allumé.
