DANE, вот только никто не может его правильно настроить для поддержки безопасности SMTP, больше ошибок именно в самостоятельных реализациях. Центры сертификации не нужны, но нужен DNSSEC, хотя они и используются, привет Let's Encrypt, что вызывает ещё больше проблем во время обновления сертификата.