えらい簡単でした。そりゃそうですよね。こちらの postfix がクライアント側になる場合のおはなしなので。別にサーバー証明書を用意しなきゃいけないワケでもないですし。(サーバー証明書を用意するのは gmail 側の mta)
smtp_tls_security_level = may smtp_tls_loglevel = 1 smtp_tls_session_cache_database = btree:/var/lib/postfix/smtp_sesscache smtp_tls_session_cache_timeout = 3600s
このへんを追加するだけです。必須なのは smtp_tls_security_level = may
ですね。他の設定についてはpostfix 本家 postfixJP あたりを参照していただければと。
ざっくりと、これで送信先の mta が tls に対応していれば、postfix は tls で接続するようになります。
これは postfix がクライアントとして、他の mta にメールをリレーする場合のみに作用する設定です。設定項目が smtpd_tls_security_level ではないことに注意してください。