大家好，我是开源CLI工具checkdmarc的作者，这个工具主要用来检查DMARC及其他邮件安全标准。其中有一项核心检测是验证域名MX记录里列出的邮件服务器是否支持TLS。最近我碰到了不少实际案例，发现MX记录里的主机名和服务器使用的证书的CN（通用名称）或备用名称不匹配，这直接导致TLS连接因为主机名校验失败而无法建立。

举个例子，gmail.com的MX记录如下：

gmail.com.              1550    IN      MX      20 alt2.gmail-smtp-in.l.google.com.
gmail.com.              1550    IN      MX      40 alt4.gmail-smtp-in.l.google.com.
gmail.com.              1550    IN      MX      10 alt1.gmail-smtp-in.l.google.com.
gmail.com.              1550    IN      MX      5 gmail-smtp-in.l.google.com.
gmail.com.              1550    IN      MX      30 alt3.gmail-smtp-in.l.google.com.

备注：内容来源于stack exchange，提问作者Sean W.