Me refería al registro A de mail.domain.tld configurado en Solo modo DNS en lugar del registro A de forum.domain.tld, sin embargo, me di cuenta de que había estado malinterpretando cómo los clientes SMTP autentican los certificados TLS.
El comportamiento que estaba viendo era un artefacto del método oportunista predeterminado que no valida el nombre de host, por lo que mi afirmación de que valida el nombre de host del registro MX en lugar del destino del registro MX era incorrecta. Funcionaría en la mayoría de los casos, pero no si se utilizan DANE o MTA-STS para imponer la autenticación de identidad TLS.