Dipende.
Fondamentalmente hai la possibilità di:
-
Richiede sempre un certificato valido. Ciò significa ovviamente che devi disabilitare il fallback in testo semplice e applicare l'uso di TLS. Ciò impedirà ad alcuni server e alle persone che li utilizzano di inviarti posta.
-
Se non puoi imporre l'utilizzo di TLS, non ha senso imporre un certificato valido. Una connessione crittografata con un certificato non valido è ancora meglio di nessuna crittografia.
Se si utilizza il secondo approccio, è opportuno applicare TLS per alcuni domini. Una cosa è consentire solo connessioni TLS per domini con DNSSEC / DANE dati. Per postfix questo può essere impostato con:
postconf -e "smtpd_use_tls = yes"
postconf -e "smtp_dns_support_level = dnssec"
postconf -e "smtp_tls_security_level = dane"
Puoi anche aggiungere alcuni domini che inviano regolarmente messaggi a un elenco e applicare TLS con certificati validi, se sai che lo supportano.