Postfix/Dovecot TLS и несколько доменов

В настройках клиента указывать в качестве сервера то имя, на которое сертификат. А логин уже для нужного тебе домена.

И только так? Просто пользователей несколько сотен и я с ними напрямую не контактирую

Неужели для каждого домена нужно отдельный сервер поднимать?

Обычно да, один IP = один rDNS(домен), многие почтовые сервисы проверяют соответствие.

И только так? Просто пользователей несколько сотен и я с ними напрямую не контактирую

Так обычно и делается, автонастройка клиентов для работу с определенным сервером – это отдельная тема, гугли mail autodiscovery

И как в таком случае mta между собой контактируют, просто игнорируют ошибку сертификата?

гугли mail autodiscovery

Да, как раз сейчас тестирую этот autodicover/autoconfig/dns-srv-records...три механизма для одной цели

У домена как правило есть MX-запись, которая отвечает за то, какой почтовый сервер обслуживает домен. И имя домена не обязано совпадать с именем почтового сервера. Таким образом, ты можешь сколько угодно доменов обслуживать одним и тем же сервером с одним и тем же сертификатом. Это что касается MTA. То же самое касается и MDA, только ещё проще - не нужно беспокоиться о PTR.

Т.е. если у тебя есть сервер mail.example.com, ты выпускаешь для него сертификаты, прописываешь его в MX для всех своих доменов и его же во всех почтовых клиентах. Далее, клиенты логинятся на сервер, указывая в качестве логина полный почтовый ящик с доменом(foo@mail.com, bar@pochta.ug, baz@kljsfdlkjasd.zu) и сервер сам определяет, кому какую почту выдать(разумеется, это должно быть настроено). Никто не ругается, всё работает.

Autodiscovery поддерживает ещё меньше почтовых клиентов, чем SNI. Во всяком случае раньше так было.

Обычно да, один IP = один rDNS(домен), многие почтовые сервисы проверяют соответствие.

Все почтовые сервисы проверяют обратку. Но это совершенно не имеет отношения у вопросу ТС. Один почтовый сервер с одним именем может обслуживать бесконечное количество доменов.

Всем клиентам рассылаешь одну и ту же инструкцию, с одним и тем же именем сервера. Поверь, среднестатистическому пользователю глубоко пофиг, что написано в полях SMTP/IMAP-сервер. Для них это всё одинаковая абракадабра.

Еще-бы знать какие клиенты используют пользователи, мне дали такую вводную: «outlook и мобильные», я из мобильных только K-9 знаю, что там у пользователей вообще неизвестно.

Ну и это не новый сервер, а перенос со старого, тоесть у большинства пользователей почта уже настроена где-то.

Общую инструкцию напишу для саппортов конечно, надеюсь справятся.

Ты написал, что был один домен, а теперь добавился второй. Предполагаю, что у большинства пользователей настроен старый домен. Вот на него и вешай почтовик. А всем, у кого будет новый домен, рассылаешь инструкцию, где указаны адреса этого почтовика. Старые пользователи ничего не заметят, новым в любом случае придётся настраивать.

Нет, там изначально было несколько доменов, просто сначала от старого хотели отказаться, а потом выяснилось что он тоже нужен и надо перенести.

но там пишут что outlook не умеет в SNI

А сам Postfix разве уже умеет в SNI?

https://www.postfix.org/postconf.5.html#tls_server_sni_maps

Ясно, спасибо. Значит, пропустил.