Mi riferivo al record A di mail.domain.tld impostato su Solo modalità DNS anziché al record A di forum.domain.tld, tuttavia mi sono reso conto di aver frainteso come i client SMTP autenticano i certificati TLS.
Il comportamento che stavo osservando era un artefatto del metodo opportunistico predefinito che non convalida il nome host, quindi la mia affermazione che convalidasse il nome host del record MX anziché la destinazione del record MX era errata. Funzionerebbe nella maggior parte dei casi, ma non se DANE o MTA-STS vengono utilizzati per imporre l’autenticazione dell’identità TLS.