SMTPサーバーのSNI

Question

IP（IP1）を備えた専用サーバーがあるとします。複数のドメインをリダイレクトしています（たとえばexample.com、example.net）DNS経由でそのIPに。ここで単一のnginxサーバーを実行していますが、ここでSNIを正しく設定し、HTTPSで機能します。

また、サーバーを指すように両方のドメインのMXを設定しました。 SMTPサーバーがリッスンしていて、許可されたホストを電子メールアドレスから推定し、他のホストの電子メールを拒否することにより、ポート25で正しく応答しています。

このサーバーにTLSを設定しましたが、SSL証明書は1つしか許可されていません（example.comまたはexample.net）。 SMTPを使用して、SNI（または同等のもの）を使用して、宛先に応じて適切なTLS証明書を提示する方法はありますか？

これまでのところ、これについては何も見つかりませんでした。私の現在の戦略は、異なるドメインに異なるIPを使用し（IPv6では可能かもしれませんが、私の場合はIPv4では不可能です）、2つのSMTPサーバー（ホストごとに1つ）とファイアウォールルールを実行して異なるポートにリダイレクトすることです。宛先IPに基づく。これは2つのドメインでは面倒ですが、さらに多くのドメイン、たとえば10のドメインがある場合、それはまったく実行可能ではありません。

より良い戦略はありますか？大規模なサービスプロバイダーは、多数のホストのSMTPをどのように扱いますか？

Jenny D · Accepted Answer

ここではSNIは必要ありません。証明書の検証ホスト名は、ターゲットの電子メールアドレスのドメイン名ではなく、MXレコードによって返されるホスト名に対して実行されます。したがって、すべてのドメインのすべてのMXレコードが同じホスト名をポイントしていることを確認している限り、必要なのはそのホスト名の証明書だけです。

つまり、ドメインexample.comへのすべてのメールをメールサーバーmail.example.netで処理する必要があることを示すMXレコードがある場合、メールサーバーにはホスト名mail.example.netの証明書が必要です。のみ。