Para meu dinheiro, a maneira de fazer isso é evitar a vaidade MX. É quase sem sentido, afinal - quantas pessoas reais conseguem ver seu registro MX? Os domínios de vaidade são bons, mas o TLS será mais simples se você tiver o registro MX em todos os casos como o CN incorporado no certificado.