Na verdade, eu diria que sua configuração está bem. Pelo menos se o seu registro TXT de fato tiver um ponto final como no seu exemplo.
O cenário mais provável é que o Mandrill esteja verificando uma variante de sub.example.com. que não tenha seu ponto final, com a expectativa de que seja um erro de digitação. Embora você não tenha um registro sub.example.com.sub.example.com. per se, o *.sub.example.com. curinga CNAME faz com que apareça , porque seu destino tem um registro TXT definido.
Se você quiser que esse erro desapareça sem alterar a funcionalidade de curinga existente, tente invalidar o escopo do curinga:
sub.example.com.sub.example.com. A 192.0.2.0
Isso deve impedir que a expansão de curinga coincida com sub.example.com.sub.example.com. , pois já existe um registro com esse escopo. Como não é um registro TXT, isso impedirá que o Mandrill corresponda a um registro TXT com esse nome.
Este não é um bom truque, mas sua única alternativa real é forçar o Mandrill a não reclamar sobre isso.