No es lo que quise decir, específicamente lo que estaba sugiriendo eran tres registros DNS:
A: forum.domain.tld → dirección IP del host (proxy habilitado)
A: mail.domain.tld → dirección IP del host (Solo modo DNS)
MX: forum.domain.tld → mail.domain.tld
Sin embargo, como mencioné, más tarde me di cuenta de que eso solo funcionaría en el modo TLS oportunista predeterminado, no funcionará si usted (alguien) también quiere habilitar DANE o MTA-STS para forzar la autenticación de identidad (asegurarse de que se está conectando al servidor correcto en lugar de solo cifrar el tráfico).
Se ven muy bien, son fáciles de seguir y hacen todo fuera del contenedor, por lo que no hay riesgo de que se rompa potencialmente con las actualizaciones de Discourse. Me gusta particularmente el uso de un hook de renovación de certbot con el que no estaba familiarizado antes.