我指的是将 mail.domain.tld 的 A 记录设置为“仅限 DNS 模式”(DNS Mode Only),而不是 forum.domain.tld 的 A 记录,但我意识到我误解了 SMTP 客户端如何验证 TLS 证书。
我所看到的行为是默认的“机会主义”(opportunistic)方法的产物,该方法不验证主机名,因此我断言它验证 MX 记录的主机名而不是 MX 记录的目标是错误的。在大多数情况下它会起作用,但如果使用 DANE 或 MTA-STS 来强制执行 TLS 身份验证则不行。