Eu estava me referindo ao registro A de mail.domain.tld definido como Apenas Modo DNS, em vez do registro A de forum.domain.tld, no entanto, percebi que estava interpretando mal como os clientes SMTP autenticam certificados TLS.
O comportamento que eu estava vendo era um artefato do método oportunista padrão que não valida o nome do host, então minha afirmação de que ele valida o nome do host do registro MX em vez do alvo do registro MX estava incorreta. Funcionaria na maioria dos casos, mas não se DANE ou MTA-STS forem usados para impor a autenticação de identidade TLS.