私が意図したのは、具体的には3つのDNSレコードを提案したということです。
A: forum.domain.tld → ホストIPアドレス(プロキシ有効)
A: mail.domain.tld → ホストIPアドレス(DNSモードのみ)
MX: forum.domain.tld → mail.domain.tld
しかし、前述したように、これはデフォルトのオポチュニスティックTLSモードでのみ機能し、DANEやMTA-STSを有効にしてID認証を強制したい場合(暗号化されたトラフィックだけでなく、正しいサーバーに接続されていることを確認したい場合)は機能しないことに後で気づきました。
それらは非常によくできており、分かりやすく、Discourseのアップデートで壊れる可能性がないように、コンテナの外で必要なすべてを実行します。特に、以前は知らなかったcertbotの更新フックの使用が気に入っています。