> Решил без особый вложений использовать LetsEncrypt. Все что нужно - так это
> подтвердить владение зоной. Обычно это делается через http uri.
> И все бы ничего, но у меня нет на хосте с postfix-ом
> web-сервера, и ставить его туда не собираюсь.

В принципе, web-сервером может быть всё что угодно, хоть nc. Моя персональная симпатия уходит к xinetd. Смотрите примеры https://unix.stackexchange.com/questions/32182/simple-comman...

> Благо есть альтернативный способ подтвердить владение через DNS, но тут снова проблема,
> DNS тоже не на хосте с postfix-ом.
> Поначалу начал заморачиваться с запуском скриптов через ssh, но потом подумал, а
> наверное есть способ а-ля rndc addzone?! Но не нашел.
> Плохо искал или таки нет?
> nsupdate не подходит, поскольку зона не динамическая.

Можно оставить в покое вашу зону example.com, но завести на том-же хосте отдельную зону _acme-challenge.example.com и её сделать динамической.
Или пусть зона _acme-challenge.example.com будет slave, чтобы её обновлял master который живёт там-же где и Postfix, а с локальным непубличным Bind-ом вы без SSH справитесь.
Вам же важно, чтобы обновлялка сертификатов не могла лазать куда не надо?