Postfix: Reforçando o TLS de saída com base no domínio do remetente e do destinatário?

De acordo com a documentação , isso não é possível. A implementação atual só pode decidir sobre o destino; e não na fonte.

A resposta curta: não, isso exigiria o pré-roteamento da mensagem antes da sessão TLS, o que anula o propósito de usá-la; e não há como rotear dentro da sessão.

A resposta longa: seria melhor fazer o seguinte:

• forçando seus locatários baseados em TLS a configurar seu MUA para usar o TLS pronto para uso, ignorando todo o problema. Isso não é um problema porque o postfix terá prazer em ter ouvintes criptografados e não criptografados em execução; no entanto, obviamente, cria problemas se o usuário não se incomodar em fazer isso, porque a maioria dos clientes de email de configuração automática examinará as portas e localizará as que não foram criptografadas ... etc. etc etc.
• forçando todas as conexões a serem baseadas em TLS, o que seria tratado de forma transparente para todos de qualquer maneira, já que você pode executar o TLS na porta 25, mas não no SSL. Essa seria a opção mais fácil / preguiçosa, mas não sei sua configuração ou capacidade do servidor e pode ser insatisfatória em um servidor de alto volume.