Quando o Postfix é o destino de vários domínios, ele precisa de um certificado TLS para cada um deles ou apenas para o domínio em $ myhostname?
Ou seja, há clientes smtp por aí que verificarão certs em relação ao MX que usaram para nos procurar, ou são todos espertos o suficiente para esperar por 220 respostas e / ou fazer DNS reverso, e checar isso? ?
É possível receber o 220 sem verificar primeiro o certificado?
Caso contrário, é possível até mesmo que o Postfix saiba qual certificado o cliente deseja?
EDITAR: Mesmo se eles inverterem o DNS, se os clientes estiverem dispostos a aceitar endereços MX que resolvem domínios arbitrários, isso não é trivial para o MITM? Ou é a solução para nunca usar uma vaidade MX se eu quiser TLS?
Para meu dinheiro, a maneira de fazer isso é evitar a vaidade MX. É quase sem sentido, afinal - quantas pessoas reais conseguem ver seu registro MX? Os domínios de vaidade são bons, mas o TLS será mais simples se você tiver o registro MX em todos os casos como o CN incorporado no certificado.