O Postfix tem uma documentação perfeita. Para o seu assunto: link
Em particular, você tem um problema porque o Postfix não conseguiu encontrar uma cadeia confiável completa de certificados até a CA confiável. Você precisa fornecer essa cadeia com o certificado do servidor final.
Isso significa que você deve incluir todas as CAs intermediárias no pacote de certificados fornecido ao Postfix, sendo o certificado do servidor final o primeiro e, em seguida, todas as CAs de baixo para o nível superior:
cat server_cert.pem intermediate_CA.pem > server.pem
Nós implementamos a chave no próprio arquivo, assim minha configuração é assim (em main.cf):
smtpd_tls_cert_file = /path/to/server.pem
smtpd_tls_key_file = /path/to/server.key
Naturalmente, o arquivo de chave deve ser mantido seguro, disponível para leitura somente para raiz (o Postfix inicia como root, lê e, em seguida, descarta privilégios). Você pode incluir a cadeia de certificados e a chave em um único arquivo e, em seguida, especificar o mesmo arquivo em ambas as configurações.
Esta é apenas a configuração do "smtp server" (smtpd). O postfix também tem um cliente smtp (que é usado quando se conecta a outro servidor para transmitir mensagens lá). Ele também precisa de configuração própria, provavelmente você tem que usar outro certificado. O certificado do servidor deve ter a finalidade "ssl server", enquanto o certificado smtp client precisará da finalidade "ssl client". Veja a página de manual com a qual eu fiz o link para detalhes.