La principale raison d'utiliser un domaine comme mail.example.com o smtp.example.com pour permettre de le déplacer sans impacter les autres services fonctionnant sur le domaine principal. Seuls les ordinateurs devraient rechercher le serveur SMTP, et ils utiliseront l'enregistrement MX pour les adresses suivantes example.com Vos utilisateurs peuvent avoir besoin de fournir les domaines lors de la configuration de leur client, mais beaucoup (la plupart ?) devineront correctement en se basant sur leur expérience dans le domaine de l'informatique. j.doe@example.com adresse électronique.
À de très rares exceptions près, seuls les spambots utilisent un deuxième niveau ( example.com ), presque toujours usurpée. Les quelques serveurs légitimes utilisant des domaines comme example.com sont généralement brisés à plusieurs autres égards également. L'utilisation d'un domaine de deuxième niveau peut contribuer au score de spam du courrier que vous envoyez.
Les administrateurs professionnels utilisent des sous-domaines dédiés pour les services de messagerie. Dans la plupart des cas, il s'agit d'un sous-domaine qui ne reflète pas le nom du serveur sur lequel le service est exécuté.
Je n'ai eu aucun problème pour envoyer ou recevoir du courrier SMTP sur mon serveur avec un certificat auto-signé. Le site qui se connecte sait déjà qu'il s'agit du bon site grâce à votre enregistrement MX. Récemment, j'ai eu quelques serveurs qui ont échoué à la commande startTLS, mais qui se sont reconnectés sans TLS. Je pense qu'ils utilisaient SSLv3 et ont été rejetés sur cette base, plutôt que sur celle de l'AC. Un examen des échecs les plus récents montre que les spambots se déconnectent de manière incorrecte en générant des erreurs. Une partie importante de mon trafic de courrier électronique est maintenant chiffrée TLS et il n'y a aucun problème le certificat de mon CA auto-signé.
L'utilisation de certificats de confiance est un moyen d'authentifier des serveurs coopérants au sein d'un domaine. Cependant, vous voudrez soit restreindre les domaines signés, soit utiliser une AC privée (auto-signée). Il existe d'autres cas, comme un VPN, où vous pouvez également utiliser une AC privée.
Là où vous pouvez rencontrer des problèmes, c'est avec Dovecot, mais ce seront vos utilisateurs qui se connecteront. Ce n'est pas un service à utiliser par le grand public. Si vous avez généré une AC pour signer votre certificat, vous pouvez mettre le certificat de l'AC à la disposition de vos utilisateurs pour qu'ils l'importent dans leur client de messagerie. Cela permettra de résoudre le problème.
Vous pouvez obtenir un certificat signé gratuitement maintenant. Sinon, le Let's Encrypt Certificate Authority devrait être disponible cet automne. (Elle est maintenant disponible.)
