Estou em uma situação em que um aplicativo da Web está usando o servidor SMTP virtual do IIS para enviar e-mails. O servidor SMTP virtual do IIS é configurado para enviar todas as mensagens por meio de um smarthost, por meio da criptografia TLS. Isso está funcionando, exceto que, por meio de testes, parece que o IIS não está verificando o nome do host ao qual se conecta no certificado remoto. Por causa disso, acredito que seria possível alguém realizar um ataque man-in-the-middle. (A segunda retransmissão SMTP não está localizada no mesmo datacenter e não está se conectando através de uma VPN).
Existe alguma maneira de configurar o servidor SMTP virtual do IIS 6.0 para verificar o nome do host na conexão TLS de saída?
Obrigado!