akelsey

При большом кол-ве accepted domains всего три способа:

1. Постоянно добавлять новые домены SAN в сертификатах как вам уже объясняли все (но при копеечной стоимости домена, стоимость сертификата растет просто в диких размерах)
2. Использовать SRV запись
3. Использовать механизм http-redirect на единыое пространство имён.

Т.е. с первым случаем вы столкнулись, вам уже это не понравилось, идём ко второму.
Второй способ выглядит вроде заманчиво, и наименее затратно, но тут есть нюанс, первое это самый медленный способ, т.к. служба автообнаружения использует SRV на самом последнем этапе, и хуже того могут не поддерживатся какими то устройствами, т.е. приемлемо только для аутлюков.
Третий способ использовать вебсервер с редиректом на единое пространство имен, т.е. когда на вебсервере создается ресурс слушающий все эндпоинты вашего автодискавера, т.е.:
autodiscover.bank.ru
autodiscover.insurance.ru
autodiscover.shop.ru
и т.д.
и отдает 302 редирект на autodiscover.mymail.ru на который вы купили сертификат с нужными SAN или wildcard *.mymail.ru...

Как-то так.

Роль EDGE в Exchange по сути некий рудимент, когда не было коммерческих антиспам систем, или они стоили космических денег, MS предлагал этот сервис для бедных.
По факту если у вас стоит уже какая то антиспам система перед Exchange (и в конторе не 10к почтовых ящиков), а 25 порт на эксчендже открыт только для этой системы, EDGE вообще можно декомиссить.

PS
Судя по названию - если отключить перестанут работать правила предустановленные (если есть) и созданные вами (сначала я неверно написал вам про контент фильтр - убрал из ответа)

Вот описание на русском:

Агент Edge Rules может защитить внутреннюю сеть от угроз, распространяемых через электронную почту, таких как эпидемии вирусов или атаки типа denial of service. Он также ограничивает распространение внутренних угроз на компьютеры клиентов компании других внешних абонентов путем идентификации и блокировки нежелательных исходящих сообщений. Сервер с ролью Edge Transport является почтовым шлюзом, поэтому с помощью правила транспорта вы можете создать механизм, гарантирующий, что в папки входящей почты Inbox, принадлежащие вашим пользователям, будут попадать только нужные письма.

Нет, такое средствами только DNS невозможно.
Можно использовать для домена сервисы яндекса "почта для домена", и там уже настроить редирект, или забор почты с гугла по imap, это уже как удобнее.

1. Есть такое понятие время кэша, если пользователь уже входил на компьютер под своим именем и контроллер был доступен, то кратковременное выключение КД он не заметит. Новый же войти не сможет.
2. Да интернет ему не нужен
3. Нет, для этого требуется отдельный продукт, как правило прокси сервер.

Codec plugins
CEF codec for Logstash

/usr/share/logstash/vendor/bundle/jruby/2.5.0/gems/logstash-codec-cef-6.0.1-java

grep cs4Label * -iR
lib/logstash/codecs/cef.rb: "cs4Label" => "deviceCustomString4Label",

Конфликтовать не будет.
У вас разные селекторы, основной домен я вижу "mail", для mailchimp вам предложили использовать "k1", кстати на скриншоте видно что вы сделали неверный селектор, и проверка не пройдет у вас, нужно не "k1_domainkey", а "k1._domainkey".
PS
SPF сделали правильно, но если у вас есть еще своя почта, имеет смысл эти айпи прописать туда так же.

Ваш вопрос из области "transparent proxy", т.е. требуется совместная работа - сетевой железки и прокси сервера.
Логика следующая (опустим нюансы аутентификации), если компьютер пользователя инициировал запрос на порт 80 - то сетевая железка должна редиректить такие запросы на ваш прокси, который поддерживает режим "transparent" и фильтруя трафик пропускает разрешенный. Функционал "прозрачный прокси" поддерживается Squid-proxy, сборка под Win32 тоже есть, но с остальным придется разбираться самостоятельно.
Либо вам уже рассказали про способы сконфигурить все на стороне клиента через AD если он есть.
Выбирать вам.