Das meinte ich nicht. Konkret schlug ich drei DNS-Einträge vor:
A: forum.domain.tld → Host-IP-Adresse (Proxy aktiviert)
A: mail.domain.tld → Host-IP-Adresse (Nur DNS-Modus)
MX: forum.domain.tld → mail.domain.tld
Allerdings stellte ich später fest, dass dies nur im Standard-Opportunistic-TLS-Modus funktionieren würde. Es funktioniert nicht, wenn man DANE oder MTA-STS aktivieren möchte, um die Identitätsauthentifizierung zu erzwingen (sicherstellen, dass die richtige Serververbindung hergestellt wird, anstatt nur den Verkehr zu verschlüsseln).
Sie sehen sehr gut aus, sind leicht zu befolgen und erledigen alles außerhalb des Containers, sodass kein Risiko besteht, dass es bei Discourse-Updates möglicherweise zu Problemen kommt. Besonders gut gefällt mir die Verwendung eines Certbot-Erneuerungshooks, mit dem ich vorher nicht vertraut war.