Сделал абсолютно всё, как в этой статье: http://www.lemis.com/grog/HOWTO/qpopper.php

Вручную коннект идёт замечательно: openssl.exe s_client -connect host:995

WARNING: can't open config file: /usr/local/ssl/openssl.cnf
Loading 'screen' into random state - done
CONNECTED(00000194)
depth=0 C = RU, ST = Some-State, O = Internet Widgits Pty Ltd, CN = server.domain.ru
verify error:num=18:self signed certificate
verify return:1
depth=0 C = RU, ST = Some-State, O = Internet Widgits Pty Ltd, CN = server.domain.ru
verify return:1
---
Certificate chain
0 s:/C=RU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=server.domain.ru
   i:/C=RU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=server.domain.ru
---
Server certificate
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
subject=/C=RU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=server.domain.ru
issuer=/C=RU/ST=Some-State/O=Internet Widgits Pty Ltd/CN=server.domain.ru
---
No client certificate CA names sent
---
SSL handshake has read 1009 bytes and written 508 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : AES256-GCM-SHA384
    Session-ID: 31F744D96E145994C86F41964862A3EAE378D25227DEEEA02D4428B4B4312D72
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:

    Start Time: 1455300453
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
+OK Qpopper (version 4.1.0) at server.domain.ru starting.  <2238.1455300488@server.domain.ru>
USER user
+OK Password required for user.
PASS pass
+OK user has 21 visible messages (0 hidden) in 1610596 octets.
QUIT
+OK Pop server at server.domain.ru signing off.
closed

Ни из аутлука, ни из thebat коннект не идёт вообще. Для аутлука импортировал CA-сертификат
в trusted root certification authorities, для бата импортировал в его собственное хранилище в адресной книге. Результат одинаковый, в логе поппера

Feb 12 21:14:37 server qpopper[2284]: Client at "192.168.x.x" resolves to an unknown host name "x.domain.ru"
Feb 12 21:14:37 server qpopper[2284]: (v4.1.0) Servicing request from "192.168.x.x" at 192.168.x.x
Feb 12 21:14:37 server qpopper[2284]: TLS handshake Error
Feb 12 21:14:37 server qpopper[2284]: TLS/SSL Handshake failed: -1

Аутлук говорит "Your server does not support the connection encryption type you have specified..."

Бат говорит
>12.02.2016, 21:11:07: FETCH - Свойства сертификата: AA33FB3FB3480371, алгоритм: RSA (1024 бит), Действителен с: 12.02.2016 17:56:49, по: 09.02.2026 17:56:49, на хосты в кол-ве 1 шт.: server.domain.ru.
>12.02.2016, 21:11:07: FETCH - Владелец: RU, Some-State, Internet Widgits Pty Ltd, server.domain.ru.
>12.02.2016, 21:11:07: FETCH - Root: RU, Some-State, Internet Widgits Pty Ltd, server.domain.ru

!12.02.2016, 21:11:07: FETCH - Приветствие TLS не завершено. Невозможно соединиться с сервером

(пока не импортировал CA в хранилище - ругался по-другому, т. е. разница есть, сертификат видится)

Длина ключа 1024, винда 7 - т. е. ей должно хватить. Единственно что, сертификат (не CA, а хостовый) при импорте в виндовое хранилище показывает "This certificate has an invalid digital signature" (фиг знает, почему, делал всё по инструкции в статье), но не знаю, влияет ли это. На бат, по идее, вообще не должно, у него собственный крипто-провайдер.

Уже всю башку себе сломал.