Kurzer Zwischenbericht: Meine Hauptdomain produziert noch immer einen host mismatch, da noch immer mail.<domain>.de genutzt wird statt des DNS-Eintrags. Ich habe daraufhin die Änderung auf alle anderen Domänen angewandt und dorthin eine Testnachricht geschickt. Bei allen außer meiner favorisierten Domäne ist der Bericht perfekt, von daher war das tatsächlich die Lösung. Bei meiner anderen Domäne wird das sicherlich irgendein Cache sein, der den alten Eintrag vorhält.
Frage mich nur, warum die DNS-Einstellung standardmäßig so gesetzt wird, wenn man selbst das Let's Encrypt Zertifikat nicht genauso leicht draufpacken kann. Ohne den überflüssigen Eintrag ist es doch weit besser, oder?