Je faisais référence à l’enregistrement A de mail.domain.tld défini sur Mode DNS uniquement plutôt qu’à l’enregistrement A de forum.domain.tld, mais j’ai réalisé que j’interprétais mal la manière dont les clients SMTP authentifient les certificats TLS.
Le comportement que j’observais était un artefact de la méthode opportuniste par défaut qui ne valide pas le nom d’hôte, donc mon affirmation selon laquelle il valide le nom d’hôte de l’enregistrement MX plutôt que la cible de l’enregistrement MX était incorrecte. Cela fonctionnerait dans la plupart des cas, mais pas si DANE ou MTA-STS sont utilisés pour appliquer l’authentification d’identité TLS.