Postfix 是否需要每个目标域的 TLS 证书?

Postfix 是否需要每个目标域的 TLS 证书?

当 Postfix 是多个域的目标时,它是否需要为每个域提供 TLS 证书,还是只需要为 $myhostname 中的域提供 TLS 证书?

也就是说,是否存在 smtp 客户端会根据用于查找我们的 MX 检查证书,或者它们是否都足够智能,可以等待 220 响应和/或执行反向 DNS,并据此进行检查?

不先检查证书就能收到 220 吗?

但除此之外,Postfix 是否可能知道客户端想要什么证书?

编辑:即使他们确实进行了反向 DNS,如果客户端愿意接受解析为任意域的 MX 地址,那么这对 MITM 来说不是微不足道吗?或者解决方案是,如果我想要 TLS,就永远不要使用虚荣 MX?

答案1

在我看来,这样做的方法是避免虚荣 MX。无论如何,这几乎毫无意义——有多少人真正能看到你的 MX 记录?虚荣域名很好,但如果你的 MX 记录在所有情况下都是嵌入在证书中的 CN,TLS 会更简单。

相关内容