Bei Let's Encrypt: nix
4.) Welchen Anbieter könnt ihr empfehlen?
Ich verwende seit Jahren auf meinem Server ein Zertifikat von cacert.org. So weit mir bekannt der einzige Anbieter von kostenlosen Wildcard-Zertifikaten. Einziger Nachteil: Deren Root-Zertifikat ist in den seltensten Fällen vorinstalliert, Debian hat es auch kürzlich rausgeworfen. Für Mailserver aber egal, da reicht im Prinzip auch ein self-signed Zertifikat.
Das mit den Zertifizierungsstellen halte ich ohnehin für Schwachsinn, warum sollte ich ausgerechnet z.B. einer "Türktrust" trauen? Selbst Google-Zertifikate wurden schon gefälscht. Viel sinnvoller wäre es, wenn Anbieter, bei denen es auf Sicherheit ankommt (z.B. Banken) ihren Kunden den Fingerprint auf sicherem Wege zukommen lassen (z.B. mit den Zugangsdaten für das Online-Banking).