Pokud v prvním kroku klientovi řeknu, že MX je mail.zladomena.cz, tak tam pošle poštu, ať jsou pak PTR nebo certifikáty jakékoliv. Prostě chybí pevnější vazba na MX a tu umí dát jen DNSSEC.
Toto _by_musel_ řešit SMTP klient. V praxi se to neděje, ale pokud by někdo chtěl, tak by to bylo možné a ten řetězec je nepřetržený. Ale to je stejně dobrovolné, stejně jako používat DNSSEC - tedy obojí je dost bezzubé.