Un énorme tuto de setup mail, beaucoup trop de composants pour moi mais ça peut donner des idées jusqu'où une config du genre peut aller. Y'a vraiment de tout : SPF/DKIM/DMARC ; spamassassin/clamav ; rainloop/postfixadmin, le tout basé sur des virtual-host et des virtual-users dans une base MySQL. Et ce pour du Debian 7 ET 8.

Doc de config SSL pour dovecot qui juste marche. On peut utiliser le même certif que pour postfix, par exemple celui généré par le paquet ssl-cert. Et perso j'ai mis ssl=required :-'

Refaire le certif autosigné tout simple du paquet ssl-cert (par exemple si on a installé le paquet avant d'avoir mis le bon nom de machine) :
make-ssl-cert generate-default-snakeoil --force-overwrite

Faire passer l'auth SASL de postfix directement par dovecot (comme ça, un seul endroit où configurer l'auth). Attention au distingo "smtpd_recipient_restrictions" et "smtpd_relay_restrictions" qui doivent être tous deux configurés pour laisser passer les utilisateurs SASL (soit globalement dans main.cf soit uniquement pour le port de soumission (587), dans master.cf).

Quand ça veut pas entre dovecot et PAM, il suffit de mettre l'authentification en verbeux et de voir que c'est pas le bon nom qui est vérifié (il y a le nom de domaine dedans, comme pour une config en virtualhost).
auth_username_format = %Ln