HAProxy n''est qu'un reverse-proxy TCP de "base" pour ce qui concerne le POP / IMAP, mais il saura très bien route des connexions en fonction du SNI.

Après, tu peux l'utiliser aussi pour loguer le fameux SNI envoyé par le client, ça te permet de faire un "audit" et de savoir s'il est pertienent de mettre ça en place.

Voici un petit lien, puisse-t-il t'inspirer:

https://www.haproxy.com/fr/blog/enhanced-ssl-load-balancing-with-server-name-indication-sni-tls-extension/

La partie qui t'interesse, c'est les lignes 15 à 19 du premier exemple de conf.

Baptiste