У меня была немного каша из почтовиков. И Dovecot, и Courier были в системе, но Postfix работал именно с Courier'ом и я удалил Dovecot. Это раз. Видимо, настройки Postfix'a все правильны, т.к. при помощи web-mail'a (Squirrel Mail) я получал доступ к почте, даже после удаления старого сертификата. Но, возможно, неправильно настроен Courier в части сертификата и поэтому система по умолчанию использовала при защищенном доступе к Courier'у не тот сертификат. "Не тот" - в том смысле, что именно для почты у меня в системе есть самописанный сертификат. Я его сам и создавал, когда настраивал почтовики. И иначе бы и Postfix не сработал бы без сертификата для HTTPS. Сертификат не для всего, как Вы сказали, а именно в соответствии с настройками серверов. И если почтовики настроены на использование другого, то тот, что первый, только для HTTPS (в моем случае, а не теоретически вообще).
Тут есть два варианта:
1) Или копаться в настройках Courier'a и Thunderbird Mail'a;
2) Или бросать Let's Encrypt (может с ним вообще почтовики нормально пока не работают)и брать что-то более консервативное, хоть и немного платное в плане серт.
Правда, мне тут кое-где подкинули мысль, что, мол, даже ПОСЛЕ протухания старого HTTPS-ного сертификата, всё равно мои почтовики будут с ним работать, как и раньше. Но это я узнаю через 3 дня (после 08.10.2016)