Dovecot как доверенное лицо с подчинением

В моей инфраструктуре есть несколько почтовых серверов (mailcow), обслуживающих разные домены на экземпляр. Я хочу построить почтовый прокси перед ними, чтобы уменьшить количество используемых IP-адресов на сервис и позволить клиентам в любом случае иметь собственные доменные имена в своих клиентских пресетах.

SMTP как MTA обрабатывается по-другому. Входящие сообщения через Postfix обрабатываются центральным сервером (потому что записи MX не видны клиенту). Так что это не моя проблема.

Поэтому я настроил почтовый прокси-сервер на основе Dovecot на Debian Buster со следующей конфигурацией:

ssl_cert = </etc/dovecot/ssl/default.pem
ssl_key = </etc/dovecot/ssl/default.key

# just an example for different domains via SNI
local_name mail.domain1.tld {
  ssl_cert = </etc/dovecot/ssl/mail.domain1.tld.pem
  ssl_key = </etc/dovecot/ssl/mail.domain1.tld.key
}

# just an example for different domains via SNI
local_name mail.domain2.tld {
  ssl_cert = </etc/dovecot/ssl/mail.domain2.tld.pem
  ssl_key = </etc/dovecot/ssl/mail.domain2.tld.key
}

auth_cache_size = 4 k
disable_plaintext_auth = no

passdb {
  args = /etc/dovecot/sql.conf
  driver = sql
}
protocols = "imap pop3 submission"
service auth {
  user = root
}
userdb {
  args = static uid=5000 gid=5000 home=/dev/null
  driver = static
}

И sql.conf - это

## SQL passdb configuration
driver = mysql

# Database options
connect = host=localhost dbname=dovecot user=dovecot password=dovecot

# Query
password_query = SELECT NULL AS password, NULL AS destuser, host, 'Y' AS nologin, 'Y' AS nodelay, 'Y' AS nopassword, 'Y' AS proxy, 'any-cert' AS `ssl` FROM proxy_domain WHERE domain = '%d'
# eof

База данных содержит:

CREATE TABLE `proxy_domain` (
  `domain` varchar(255) NOT NULL,
  `host` varchar(255) NOT NULL,
  PRIMARY KEY (`domain`)
);

insert into proxy_domain (domain, host) values ('domain1.tld','mailhost1');
insert into proxy_domain (domain, host) values ('domain2.tld','mailhost2');

Это более или менее пример

• прокси:https://wiki1.dovecot.org/HowTo/ImapProxy(последнее обновление 2011 г. с очень старыми параметрами конфигурации)
• СНИ:https://wiki.dovecot.org/SSL/Конфигурация Dovecot

Службы IMAP и POP3 работают.

openssl s_client -connect ac-hcn0002.acoby.net:993

Я могу войти в систему, и SNI также работает нормально. Бэкэнд доступен через SSL. С starttls (110, 143, 587) представлен только первый сертификат. Это нормально и приемлемо, потому что я бы не рекомендовал это клиенту.

Но теперь покорность (а позже и сито).

Вопрос 1:

Dovecot может открыть 587 для отправки. Это доступно только через STARTTLS. Но затем прокси-сервер пытается связаться для отправки на бэкэнд-системе напрямую с SSL на порту 587 (что неправильно, я думаю - он должен начинаться просто и делать STARTTLS). Я думаю, это происходит, потому что passdb возвращает глобальный SSL=any-cert. Это ошибка? Могу ли я переопределить это поведение для 587? И, может быть, есть способ отправить правильный сертификат с STARTTLS (вместо default/first)?

Вопрос 2:

Затем порт 465. Dovecot также мог бы открыть порт отправки 465/SSL в моем случае для пересылки всех аутентифицированных сообщений на порт отправки 465 на бэкэнде. Но как мне это настроить? Я не смог найти ни одного примера.

Я знаю оПочтовая инфраструктура с прокси-сервером Dovecotи решение с postfix - но я не совсем уверен, работает ли ответ с dovecot-socket в этом сценарии, и я не хочу устанавливать postfix только для отправки, когда Dovecot может справиться с этим «из коробки».