sendmail no emite STARTTLS cuando actúa como cliente

Tengo problemas para transmitir a los servidores cuyo correo se enruta a través de mimecast. Las conexiones se rechazan con el mensaje:

553 This route requires encryption (TLS) - https://community.mimecast.com/docs/DOC-1369#553

Esto me hace pensar que sendmail, que está configurado con certificados y anuncia STARTTLS cuando actúa como servidor, no envía STARTLS en el momento adecuado (o no envía nada). Este es un rastro de la transferencia fallida:

>>220 zzz.mimecast.com ESMTP; Thu, 16 Jun 2022 11:55:55 +0200
>>> EHLO rigel-170.orion.it
250-zzz.mimecast.com Hello [212.115.64.170]
250-AUTH PLAIN LOGIN
250-STARTTLS
250 HELP
>>> MAIL From:<[email protected]>
250 Sender OK [R9SDNpJCMqeqqffSnRQQeg.de46]
>>> RCPT To:<[email protected]>
553 This route requires encryption (TLS) - https://community.mimecast.com/docs/DOC-1369#553 [R9SDNpJCMqeqqffSnRQQeg.de46]
>>> DATA
503 Illegal command sequence - https://community.mimecast.com/docs/DOC-1369#503 [R9SDNpJCMqeqqffSnRQQeg.de46]

Agregaré que el mismo servidor se ejecuta como un servidor smtps sin problemas (lo que sugiere que no hay problemas en el lado del certificado) y que el correo de envío envía regularmente STARTTLS (puedo ver STARTTLS=cliente en los registros). el único cliente = que he visto allí (lo que sugiere que sendmail en realidad no envía STARTTLS cuando actúa como cliente para otros servidores)

He probado, sin éxito, varias combinaciones de SRV_Features, Try_TLS, TLS_Clt, TLS_Srv y TLS_Rcpt. La única directiva TLS que me queda en el mapa de acceso hasta ahora es:

Try_TLS: Yes

También he configurado certificados de cliente en sendmail.mc

No tengo idea de qué probar a continuación.

EDITAR

Acabo de descubrir lo siguiente (que nubla aún más el problema).

Había configurado (debido a problemas de listas negras) un nombre de host/dirección diferente a los predeterminados (tanto la dirección como el nombre de host están registrados correctamente en el DNS). Lo hice con las líneas:

CLIENT_OPTIONS(`M=S,Addr=a.b.c.d')dnl
define(`confDOMAIN_NAME', `fubar.it')dnl

Si se comentan estas dos líneas, starttls se emite como se esperaba (como se ve al rastrear la sesión SMTP). Eso no parece tener ningún sentido.

EDITAR 2: Según los comentarios, el culpable es el M=Sbit en la línea CLIENT_OPTIONS (que fue arrancado de algún lugar hace eones). 'S' significa 'desactivar STARTTLS', cambiarlo M=sfunciona. Como referencia, estos son el significado de los indicadores en las opciones de demonio/cliente a partir de SM 14.4:

 ON  OFF     Meaning
 a   A       Offer the AUTH SMTP extension
 b   B       Offer use of the SMTP VERB command
 d   D       Offer the DSN SMTP extension
 e   E       Offer the ETRN SMTP extension
 l   L       Require the client to authenticate with AUTH
 p   P       Offer the PIPELINING SMTP extension
 s   S       Offer the STARTTLS SMTP extension
 v   V       Verify a client certificate
 x   X       Offer use of the SMTP EXPN ...

Atentamente,