web-dev-qa-db-ja.com

SMTPサーバーのSNI

IP(IP1)を備えた専用サーバーがあるとします。複数のドメインをリダイレクトしています(たとえばexample.comexample.net)DNS経由でそのIPに。ここで単一のnginxサーバーを実行していますが、ここでSNIを正しく設定し、HTTPSで機能します。

また、サーバーを指すように両方のドメインのMXを設定しました。 SMTPサーバーがリッスンしていて、許可されたホストを電子メールアドレスから推定し、他のホストの電子メールを拒否することにより、ポート25で正しく応答しています。

このサーバーにTLSを設定しましたが、SSL証明書は1つしか許可されていません(example.comまたはexample.net)。 SMTPを使用して、SNI(または同等のもの)を使用して、宛先に応じて適切なTLS証明書を提示する方法はありますか?

これまでのところ、これについては何も見つかりませんでした。私の現在の戦略は、異なるドメインに異なるIPを使用し(IPv6では可能かもしれませんが、私の場合はIPv4では不可能です)、2つのSMTPサーバー(ホストごとに1つ)とファイアウォールルールを実行して異なるポートにリダイレクトすることです。宛先IPに基づく。これは2つのドメインでは面倒ですが、さらに多くのドメイン、たとえば10のドメインがある場合、それはまったく実行可能ではありません。

より良い戦略はありますか?大規模なサービスプロバイダーは、多数のホストのSMTPをどのように扱いますか?

3
xryl669

ここではSNIは必要ありません。証明書の検証ホスト名は、ターゲットの電子メールアドレスのドメイン名ではなく、MXレコードによって返されるホスト名に対して実行されます。したがって、すべてのドメインのすべてのMXレコードが同じホスト名をポイントしていることを確認している限り、必要なのはそのホスト名の証明書だけです。

つまり、ドメインexample.comへのすべてのメールをメールサーバーmail.example.netで処理する必要があることを示すMXレコードがある場合、メールサーバーにはホスト名mail.example.netの証明書が必要です。のみ。

4
Jenny D