Não foi isso que eu quis dizer, especificamente o que eu estava sugerindo eram três registros DNS:
A: forum.domain.tld → IP do host (proxy ativado)
A: mail.domain.tld → IP do host (Apenas Modo DNS)
MX: forum.domain.tld → mail.domain.tld
No entanto, como mencionado, mais tarde percebi que isso só funcionaria no modo TLS oportunista padrão, não funcionará se você (alguém) também quiser habilitar DANE ou MTA-STS para forçar a autenticação de identidade (garantir que o servidor correto esteja sendo conectado em vez de apenas criptografar o tráfego).
Elas parecem muito boas, fáceis de seguir e fazem tudo fora do container, então não há risco de quebrar com as atualizações do Discourse. Eu particularmente gosto do uso de um hook de renovação do certbot que eu não conhecia antes.