1. MTA-MUA — никак, насколько я понимаю дела почтовые, то это скорее для MTA-MTA.
У DNSSec вообще все довольно плохо, когда речь заходит о конечных клиентах.
2. Все абсолютно точно так же, как и для доменов второго уровня.
1. Явно об этом не говорится, но dkim и dmarc вполне себе подписываются в рамках DNSSec;
2. Создать ключи, подписать, засунуть DS-запись в домен второго уровня, переподписать последний.
