SSH kann bei Verbindungsaufbau zu einem Host den Fingerprint per DNS überprüfen (RFC4255). Damit dies funktioniert, müssen in der DNS Zone der Domain zwei weitere Records hinzugefügt werden

ssh-keygen -r mx02.blog.cscholz.io
mx02.blog.cscholz.io IN SSHFP 1 1 c499d111c4eb4065e5d2b8c31408e14ff6b251cd
mx02.blog.cscholz.io IN SSHFP 2 1 c139abd44b93256ef9664d95ef4b29d0f5f28e96

Anschließend muss die Überprüfung für den SSH-Client noch über die Datei.ssh/config bzw. /etc/ssh/ssh_conf aktiviert werden.

Host *
   StrictHostKeyChecking ask
   VerifyHostKeyDNS ask

Das Ergebniss ist dann

ssh mx02.blog.cscholz.io
The authenticity of host '[mx02.blog.cscholz.io] ([83.169.42.112])' can't be established.
RSA key fingerprint is d7:d1:cb:3e:bd:18:57:da:94:c3:79:b2:7b:72:e7:bf.
No matching host key fingerprint found in DNS.
Are you sure you want to continue connecting (yes/no)