> előre meghatározott listában szereplő PHP fájloknak engedne meg mail küldést
Hogy jön be a levél? /usr/sbin/sendmail által, vagy SMTP-vel? Előbbi esetben csinálsz egy wrappert, ami megnézi, hogy ki hívta meg. Második esetben a legértelmesebb megoldás az SMTP Auth megkövetelése (akinek a PHP, vagy egyéb kódja nem tud SMTP authentikálni, az húzzon el erre: ↓) aztán az authentikált júzert úgy korlátozod policyd-vel, ahogy akarod.