Consegui fazer isso com a seguinte opção em master.cf:
925 inet n - - - - smtpd
-o smtpd_enforce_tls=no
-o smtpd_tls_security_level=may
-o smtpd_tls_auth_only=no
Isso permitirá que os clientes se conectem na porta 925, sem exigir TLS.