Moin,
für den Empfang wäre normalerweise ein
Receive Connector zuständig, aber dem Wortlaut nach zu urteilen, meinst Du den ja auch. Hier kann man, wie Du selbst bemerkt hast, nichts domain-spezifisches konfigurieren. Noch schwieriger wird die Aufgabe, wenn man bedenkt, dass mehrere Domains möglicherweise
vom selben Server kommen (Mail Security Provider, z.B.).
Du könntest also versuchen, herauszufinden, mit welchen IPs Deine Domains senden dürfen, und einen zweiten Receive Connector basteln, der Mutual TLS erzwingt und auf diese IPs begrenzt ist. Eine gute Quelle für die IPs wären die SPF Records der Quelldomains.
Die Geschichte ist aber natürlich nicht robust (Quell-Adressen können sich ohne Dein Wissen ändern), und leider ist es ein "fail-open" (kommt eine neue Adresse hinzu, so kann ohne TLS gesendet werden).
Oder Du migrierst nach Office 365 (ich weiß, dass Du es nicht hören willst ;-) ), da existiert das Konzept der Partner-Organisation (was auf Mutual TLS hinausläuft), und das kannst Du dann auch eingehend für Transportregeln verwenden.
Evgenij Smirnov
I work @ msg services ag, Berlin ->
http://www.msg-services.de
I blog (in German) @ http://it-pro-berlin.de
my stuff in PSGallery -->
https://www.powershellgallery.com/profiles/it-pro-berlin.de/
Exchange User Group, Berlin -> https://exusg.de
Windows Server User Group, Berlin ->
http://www.winsvr-berlin.de
Mark Minasi Technical Forum, reloaded ->
http://newforum.minasi.com
In theory, there is no difference between theory and practice. In practice, there is.
