メールサーバPにHSTSが実装されていたとしても、この問の状況では、攻撃者が用意したwebサーバに接続されてしまうと思うのですが、この認識で間違いないでしょうか？

「HTTP->HTTPSの常時リダイレクト化」と「HSTS」の区別が曖昧のようです。

オリジンは以下のようなものと想定されます
メールサーバPのオリジン:
「ｈｔｔｐｓ：／／ｗｗｗ．ｍａｉｌｓｅｒｖｅｒ．ｃｏｍ」
攻撃者のＷｅｂサーバのオリジン:
「ｈｔｔｐ：／／ｗｗｗ．ｍａｉｌｓｅｒｖｅｒ．ｃｏｍ」

違いは「ｈｔｔｐｓ：／／」か「ｈｔｔｐ：／／」かです。

「HTTP->HTTPSの常時リダイレクト化」はサーバ側でリダイレクトが行われます。
1.ブラウザから「ｈｔｔｐ：／／ｗｗｗ．ｍａｉｌｓｅｒｖｅｒ．ｃｏｍ」へアクセス
2.サーバ側でリダイレクトが行われ、ブラウザに
  「ｈｔｔｐｓ：／／ｗｗｗ．ｍａｉｌｓｅｒｖｅｒ．ｃｏｍ」へ
  アクセスしなおすように応答する
3.ブラウザは改めて、「ｈｔｔｐｓ：／／ｗｗｗ．ｍａｉｌｓｅｒｖｅｒ．ｃｏｍ」へアクセス

このフローの1.と2.の間には中間者が割り込む隙があり、本問ではその隙が
つかれたということになります。

一方「HSTS」は
1.はじめて「ｈｔｔｐｓ：／／ｗｗｗ．ｍａｉｌｓｅｒｖｅｒ．ｃｏｍ」へ
  アクセスしたときにブラウザ内のHSTS対象リストにFQDNが登録される
  （リストの保持期間は1年以上と長期になります）
2.ブラウザが「ｈｔｔｐ：／／ｗｗｗ．ｍａｉｌｓｅｒｖｅｒ．ｃｏｍ」へアクセスする際に
  HSTS対象のURLであれば、ブラウザ側で
  「ｈｔｔｐｓ：／／ｗｗｗ．ｍａｉｌｓｅｒｖｅｒ．ｃｏｍ」にURLを変換する
3.サーバ側へは最初から「ｈｔｔｐｓ：／／ｗｗｗ．ｍａｉｌｓｅｒｖｅｒ．ｃｏｍ」で
  アクセスにいくことになる

このフローでは2.と3.の間には最初から「ｈｔｔｐｓ：／／」で通信することになり、
中間者が入り込む隙がなくなります。

もちろん前提としてメールサーバPへのアクセスが初めてではなく、HSTS対象リストが
作成されている必要があります。

pixさん
大変わかりやすかったです。
とてもスッキリしました。

まだ疑問が残るのですが、HSTSが実装されていてもメールサーバPへのアクセスが初めての時には、攻撃者が用意したwebサーバに接続されてしまうという認識で間違いないでしょうか？

>まだ疑問が残るのですが、HSTSが実装されていてもメールサーバPへの
>アクセスが初めての時には、攻撃者が用意したwebサーバに接続されてしまう
>という認識で間違いないでしょうか？

はい はじめてののアクセスならばブラウザ側でHSTSが効かないので、
「ｈｔｔｐ：／／」でアクセスを開始してしまいます。
ですがシチュエーションとして、出張したときにはじめてメールサーバPへ
アクセスするという状況は考えずらいので、そこは無視していいかと思います。

とてもスッキリしました。
とてもわかりやすくて、感動しております。
ありがとうございました。