Resolvido. É só uma questão de extensão de arquivo! O postfix se recusa a usar o certificado encadeado, a menos que tenha uma extensão .pem. Não é exigente em relação à versão não encadeada, e outros servidores não se importam com esse detalhe. Isso é muito fraco ... Pelo menos a correção é indolor!
(BTW, o Dovecot está bem com o .pem se você quiser ser consistente ao usar os dois.)