当 Postfix 是多个域的目标时,它是否需要为每个域提供 TLS 证书,还是只需要为 $myhostname 中的域提供 TLS 证书?
也就是说,是否存在 smtp 客户端会根据用于查找我们的 MX 检查证书,或者它们是否都足够智能,可以等待 220 响应和/或执行反向 DNS,并据此进行检查?
不先检查证书就能收到 220 吗?
但除此之外,Postfix 是否可能知道客户端想要什么证书?
编辑:即使他们确实进行了反向 DNS,如果客户端愿意接受解析为任意域的 MX 地址,那么这对 MITM 来说不是微不足道吗?或者解决方案是,如果我想要 TLS,就永远不要使用虚荣 MX?
答案1
在我看来,这样做的方法是避免虚荣 MX。无论如何,这几乎毫无意义——有多少人真正能看到你的 MX 记录?虚荣域名很好,但如果你的 MX 记录在所有情况下都是嵌入在证书中的 CN,TLS 会更简单。