Bem, eu consegui trabalhar com um segundo servidor.
server1 {only TLS 1.2} DNS of MX value 30
server2 {TLS 1.0, 1.1, 1.2} DNS of MX value 35
Internet --> Firewall(allow list of DNS email servers to server2)
--TLS(1.0)-> server2 --(with TLS1.2)-> server1
Verifique os registros do server1 para obter uma lista de servidores que precisam de uma regra de firewall.
Espero que este método me permita controlar melhor o lixo eletrônico PCI no futuro.
=== EDIT ===
Após cerca de uma boca, posso dizer que tentar desabilitar o TLS 1.0 é difícil. Eu tenho escrito cerca de 4 a 5 exceções por dia. A maioria é para bancos e servidor de e-mail financeiro relacionado. Também yahoo.com e paypal.com não funcionarão com esta solução, eles só experimentam o primeiro MX nunca o segundo. Eu vou pedir uma exceção e olhar para executar meu filtro de spam na nuvem, então meu servidor de e-mail só precisou aceitar e-mails desse filtro de spam na nuvem.