Public mail server типа gmail или yandex, но с поддержкой персональных сертификатов SSL/TLS

1.щифруеш свое сообщение в PGP или подобном у себя на компе
2.отправляешь через яндекс/гмаил куда угодно
3.расшифровываешь на отправителе используя переданный ключь шифрования через какой либо протокол «чата»(с шифрованием,типа джабера дискорда опенсурс не опенсурс)

иначе смысла от твоих сертефикатов на твоем супер емаил сервере-нет никакого,все емайлы между серверами по прежнему открытым текстом ходят,а то что ты логинешся читать емаил через https не имеет значения в итоге

и да для твоей задачи подходит любой рандомный копеешный хостинг

Mail сервер можно как и jabber использовать в режиме без релея, т.е. все пользователи на нем.

Jabber точно так же как и мыйл сервер может релеить с такими же последствиями.

Да даже если он и не релеит, но при этом не используются ассиметричные ключи SSL, то что мешает устроить MITM для секретного jabber пароля, изначально переданного по PGP, но теперь уже переданного в протоколе соединения Jabber по SSL без ассиметричных ключей?

Вопрос, как предотвратить MITM на портах IMAP, Jabber ?

Например, для Dovecot так:
https://www.google.nl/?gfe_rd=cr&ei=xrWxWOf2A63c8AfE6q-oAg#q=dovecot clie...

А как у распространенных e-mail клиентов типа Аутглюк?
Stunnel с клиентским сертом подойдет для анврапинга портов?

Так то PGP для подстраховки может быть полезен конечно.

Наверно самое простое увешивать сервисы врапингом stunnel с ассиметричными клиентскими ключами.

Ну у апачки, dovecot уже есть встроенная поддержка.

Это предотвратит MITM на магистрали именно на портах клиент/сервер без учета релея или съема на самом сервере?

да ничего не предотвратит твой «митм на магистрали». Сказали же, шифруй почту, а не соединение. Зачем вы лезете в безопасность, если не способны самостоятельно даже риски оценить?

постоянно шифровать текст сообщения PGP - это конечно относительно надежный вариант для подстраховки, но хотелось бы и канал закрыть от MITM

Вот тут:
https://countermail.com/?p=mitm

пишут про защиту от MITM на их сервисе, но там какие то выкрутасы с DNSSEC, DANE и т.п. и еще загружаемый PGP клиент похоже

Надо, наверно, почитать поподробнее. Чем дальше в лес, тем толше партизаны. Раньше такого не было, чтобы на каждый чих в области безопасности по десятку полезных фич, «которые вам помогут».

А есть какая-нибудь современная инструкция для чайников по борьбе с MITM на SSL соединениях?

Так то самое простое, наверно, настроить SSH tunnel с ассиметричными ключами, делов то

но хотелось бы и с SSL научиться ...

Еще бы научиться хотябы проверять сертификат IMAP/Jabber, т.е. сделать подобие Pinning/CertPatrol для этих протоколов

Stunnel такое умеет? т.е. залочить на определенные серт и если MITM то просто ошибка связи?

Наверно вот это:

https://www.stunnel.org/auth.html

[pinning client]
client = yes
accept = 127.0.0.1:<src_port>
connect = <server_host>:<server_port>
verifyPeer = yes
CAfile = peer-certificate.pem

The peer-certificate.pem file needs to contain the server certificate.

оно предотвратит MITM, например, до gmail IMAP?

если удастся хотя бы раз получить правильный серт