私が言及していたのは、forum.domain.tldのAレコードではなく、mail.domain.tldのAレコードがDNSモードのみに設定されていることについてでしたが、SMTPクライアントがTLS証明書を認証する方法を誤解していたことに気づきました。
私が目撃していた動作は、ホスト名を検証しないデフォルトのオポチュニスティック(機会的)メソッドのアーティファクトであり、MXレコードのターゲットではなくMXレコードのホスト名を検証するという私の主張は誤りでした。ほとんどのケースでは機能しますが、DANEやMTA-STSがTLSアイデンティティ認証の強制に使用されている場合は機能しません。