TLS für ausgehende E-Mails (nach ISPmail) funktioniert nicht

Ich habe meinen Mailserver auf einem virtuellen Server nach dem ISPmail-Tutorial (https://workaround.org/ispmail/wheezy) (was großartig ist). Das einzige verbleibende Problem ist, dass es laut Websites wie nicht TLS für ausgehende E-Mails zu verwenden scheinthttps://ssl-tools.net/mailsund andere Prüftools. Mein eigentliches Problem ist, dass ich nicht weiß, wo ich nach aufschlussreicheren Protokollen suchen soll, da mail.log in diesem Fall nicht sehr hilfreich ist (wenn ich eine E-Mail mit Starttls-Angebot versende und diese einfach nicht akzeptiert wird).

Was funktioniert: Senden und Empfangen von E-Mails mit verschiedenen Clients, unter Verwendung des Zertifikats von Startssl für Webserver-HTTPS, DNS + Reverse-DNS, IPv6.

Was ein Problem sein könnte: Der Hostname des Servers ist xy. Ich habe domain.de und xy.domain.de im Zertifikat, während xy.domain.de im DNS nicht existiert. (Der Domain-Reseller gibt mir nur das SLD und verkauft die Funktion „Subdomains“ nur im „Build your shiny webserver“-Kit). Aber domain.de verweist auf die Server-IP und umgekehrt.