IP(IP1)を備えた専用サーバーがあるとします。複数のドメインをリダイレクトしています(たとえばexample.com
、example.net
)DNS経由でそのIPに。ここで単一のnginxサーバーを実行していますが、ここでSNIを正しく設定し、HTTPSで機能します。
また、サーバーを指すように両方のドメインのMXを設定しました。 SMTPサーバーがリッスンしていて、許可されたホストを電子メールアドレスから推定し、他のホストの電子メールを拒否することにより、ポート25で正しく応答しています。
このサーバーにTLSを設定しましたが、SSL証明書は1つしか許可されていません(example.com
またはexample.net
)。 SMTPを使用して、SNI(または同等のもの)を使用して、宛先に応じて適切なTLS証明書を提示する方法はありますか?
これまでのところ、これについては何も見つかりませんでした。私の現在の戦略は、異なるドメインに異なるIPを使用し(IPv6では可能かもしれませんが、私の場合はIPv4では不可能です)、2つのSMTPサーバー(ホストごとに1つ)とファイアウォールルールを実行して異なるポートにリダイレクトすることです。宛先IPに基づく。これは2つのドメインでは面倒ですが、さらに多くのドメイン、たとえば10のドメインがある場合、それはまったく実行可能ではありません。
より良い戦略はありますか?大規模なサービスプロバイダーは、多数のホストのSMTPをどのように扱いますか?
ここではSNIは必要ありません。証明書の検証ホスト名は、ターゲットの電子メールアドレスのドメイン名ではなく、MXレコードによって返されるホスト名に対して実行されます。したがって、すべてのドメインのすべてのMXレコードが同じホスト名をポイントしていることを確認している限り、必要なのはそのホスト名の証明書だけです。
つまり、ドメインexample.com
へのすべてのメールをメールサーバーmail.example.net
で処理する必要があることを示すMXレコードがある場合、メールサーバーにはホスト名mail.example.net
の証明書が必要です。のみ。