Non era quello che intendevo, in particolare quello che stavo suggerendo erano tre record DNS:
A: forum.domain.tld → indirizzo IP dell’host (proxy abilitato)
A: mail.domain.tld → indirizzo IP dell’host (Modalità DNS Solo)
MX: forum.domain.tld → mail.domain.tld
Tuttavia, come accennato, in seguito mi sono reso conto che ciò funzionerebbe solo nella modalità TLS opportunistica predefinita, non funzionerà se si desidera (qualcuno) abilitare anche DANE o MTA-STS per imporre l’autenticazione dell’identità (assicurarsi che si stia tentando di connettersi al server corretto piuttosto che solo crittografare il traffico).
Sembrano molto buone, facili da seguire e fanno tutto al di fuori del container, quindi non c’è rischio che si rompa potenzialmente con gli aggiornamenti di Discourse. Apprezzo in particolare l’uso di un hook di rinnovo di certbot con cui non avevo familiarità prima.