Когда Postfix является адресатом для нескольких доменов, нужен ли сертификат TLS для каждого из них или только для домена в $ myhostname?
Другими словами, есть ли там клиенты smtp, которые будут проверять сертификаты на соответствие MX, которые они использовали, чтобы найти нас, или все они достаточно умны, чтобы дождаться ответа 220 и / или выполнить обратный DNS и проверить это?
Можно ли получить 220 без предварительной проверки сертификата?
Но в противном случае, может ли Postfix узнать, какой сертификат нужен клиенту?
РЕДАКТИРОВАТЬ: Даже если они используют обратный DNS, если клиенты готовы принимать адреса MX, которые разрешаются в произвольные домены, разве это не тривиально для MITM? Или решение никогда не использовать тщеславный MX, если я хочу TLS?
За мои деньги способ сделать это - избежать тщеславия MX. Во всяком случае, это почти бессмысленно - сколько реальных людей когда-либо увидят вашу запись MX? Простые домены - это хорошо, но TLS будет проще, если у вас есть запись MX, во всех случаях CN, встроенная в сертификат.