A primeira coisa que eu faria seria atualizar o cliente .
O que está acontecendo aqui é uma tentativa de redução do protocolo. Ou seja, o cliente está tentando fazer downgrade de TLSv1 para SSLv3 ou de qualquer versão superior do TLS para uma versão inferior. (Exatamente o que não está claro nos logs e exigiria que a depuração mais detalhada do OpenSSL fosse ativada, mas esse detalhe em particular não é realmente relevante.)
O motivo pelo qual o downgrade do protocolo está falhando é que seu servidor tem a prevenção contra downgrade de protocolo (TLS_FALLBACK_SCSV) ativada, como uma atenuação para o ataque POODLE.
Portanto, a primeira coisa a verificar é certificar-se de que o cliente está atualizado; isso significa, no mínimo, o Thunderbird e suas bibliotecas de suporte.
Depois disso, eu verificaria a lista de protocolos. Eu estou preocupado que você não especificou TLSv1, TLSv1.1 e TLSv1.2 explicitamente. Embora isso não deva fazer diferença, já que elas devem ser ativadas por padrão, isso pode ajudar.
ssl_protocols = TLSv1.2 TLSv1.1 TLSv1 !SSLv3 !SSLv2
Por fim, há a rara possibilidade de você detectar alguém tentando atacar sua conexão, e o ataque foi frustrado.