Ich bezog mich auf den A-Eintrag von mail.domain.tld, der auf DNS-Modus allein eingestellt war, anstatt auf den A-Eintrag von forum.domain.tld. Allerdings habe ich erkannt, dass ich falsch interpretiert habe, wie SMTP-Clients TLS-Zertifikate authentifizieren.
Das Verhalten, das ich beobachtete, war ein Artefakt der standardmäßigen opportunistischen Methode, die den Hostnamen nicht validiert. Meine Behauptung, dass der Hostname des MX-Eintrags und nicht das Ziel des MX-Eintrags validiert wird, war daher falsch. Es würde in den meisten Fällen funktionieren, aber nicht, wenn DANE oder MTA-STS zur Erzwingung der TLS-Identitätsauthentifizierung verwendet werden.