Ceci n'est en fait défini explicitement nulle part, et le fait que le serveur soit ou non "de confiance" dépend du client (qui pourrait bien sûr être un autre serveur de messagerie) s'y connectant; citant de la RFC pertinente ( RFC 2487 ):
Si le client SMTP décide que le niveau d'authentification ou de
confidentialité n'est pas suffisamment élevé pour qu'il puisse continuer, il DEVRAIT émettre une
commande SMTP QUIT immédiatement après la fin de la négociation TLS.
Si le serveur SMTP décide que le niveau d'authentification ou de
confidentialité n'est pas suffisamment élevé pour qu'il puisse continuer, il DEVRAIT répondre à
chaque commande SMTP du client (autre qu'une commande QUIT) avec
le code de réponse 554 (avec une chaîne de texte possible telle "Commande
refusée par manque de sécurité").
La décision de croire ou non l'authenticité de l'
autre partie dans une négociation TLS est une affaire locale. Cependant, quelques
règles générales pour les décisions sont:
- A SMTP client would probably only want to authenticate an SMTP
server whose server certificate has a domain name that is the
domain name that the client thought it was connecting to.
Cela signifie essentiellement que, lorsque le serveur propose le cryptage TLS à l'aide d'un certificat donné, la décision d'accepter ou de refuser dépend entièrement de l'autre partie, qui voudra probablement que le nom sur le certificat soit le même auquel il est connecté, mais pourrait très bien l'accepter même s'il ne correspond pas.
Mais attendez, il y a plus. Citant à nouveau à partir du même RFC:
Une fois la prise de contact TLS terminée, le protocole SMTP est réinitialisé à
l'état initial (l'état dans SMTP après qu'un serveur ait émis un message d'
accueil 220 prêt pour le service). Le serveur DOIT éliminer toute connaissance
obtenue du client, telle que l'argument de la commande EHLO,
qui n'a pas été obtenue à partir de la négociation TLS elle-même. Le client
DOIT éliminer toute connaissance obtenue du serveur, telle que la liste
des extensions de service SMTP, qui n'a pas été obtenue à partir de la
négociation TLS elle-même. Le client DEVRAIT envoyer une commande EHLO comme
première commande après une négociation TLS réussie.
Donc, ce que le serveur dit en réponse à HELO / EHLO avant la prise de contact TLS ne semble pas vraiment avoir d'importance.
D'après mon expérience, les certificats auto-signés fonctionnent assez bien sur les serveurs de messagerie accessibles sur Internet, ce qui signifie que les autres serveurs de messagerie ne prennent même pas la peine de les valider, ils accepteront tout simplement tout ce qui peut fournir le cryptage TLS, quelle que soit la délivrance. autorité ou nom du sujet.