Você não precisa usar a porta 587 para tls, porque é independente de protocolo de aplicativo.
Eu recebo exatamente o mesmo resultado que você de openssl s_client -connect localhost:25
, mas o tls está funcionando corretamente no meu servidor.
Atualmente não tenho acesso ao meu wiki pessoal, então não consegui colar o comando correto para verificar sua configuração de tls em seu sistema. Mas você pode usar o CheckTLS .