我来帮你分析下可能的原因，结合你提供的日志和配置细节，Google MTA不触发STARTTLS大概率和这几个关键点有关：

• 证书有效性与信任链问题：Google的MTA对TLS证书的要求非常严格，如果你用的是自签名证书，或者证书没有被主流根CA信任，Google会直接跳过STARTTLS，转而使用明文传输。微软的MTA可能对测试环境的宽容度更高，但Google在中继端口（25）上的安全校验不会放松。你可以检查下你的服务器证书是否是由受信任的CA签发的，有没有过期，域名是否匹配（要和你的邮件服务器的HELO/EHLO域名一致）。

• 反向DNS与邮件信誉配置：Google非常看重邮件服务器的基础信誉配置。首先你的服务器IP必须有正确的反向PTR记录，而且PTR对应的域名要和你EHLO时返回的域名一致。另外，SPF、DKIM、DMARC这些邮件验证记录是否配置正确？如果这些缺失或者配置错误，Google可能会认为你的服务器安全性不足，从而不启用TLS加密。

• Google对中继端口（25）的特殊策略：正如你所说，端口25是邮件中继的标准端口，Google的MTA在这个端口上的TLS触发逻辑和提交端口（587）不同。他们可能会先评估服务器的整体信誉，只有当服务器拥有良好的发送信誉、完整的安全配置时，才会在25端口上使用STARTTLS。而对于新的或者信誉较低的服务器，他们可能默认用明文，避免因TLS配置问题导致邮件投递失败。

• 加密套件与TLS版本支持：Google的MTA只支持强加密套件和较新的TLS版本（比如TLS 1.2+）。如果你的服务器配置了过时的加密套件（比如SSLv3、TLS 1.0）或者弱加密算法，Google会拒绝使用TLS，直接用明文传输。你可以检查下你的TLS配置，确保启用了TLS 1.2及以上版本，并且使用Google认可的加密套件（比如AES-GCM系列）。

给你几个具体的排查建议：

1. 用主流的TLS配置检测工具检查你的服务器TLS配置，确认证书、加密套件、TLS版本都符合行业标准。
2. 核实你的服务器IP的反向PTR记录是否正确，EHLO响应的域名是否与PTR记录匹配。
3. 配置完善SPF、DKIM、DMARC这三类邮件验证记录，这些配置不仅能提升邮件的送达率，也会让Google更信任你的服务器安全级别。
4. 如果你目前用的是自签名证书，建议替换为受信任的免费CA签发的证书，再测试Google MTA的连接行为。

从你提供的日志来看，你的服务器已经在EHLO响应中正确返回了250-STARTTLS标识，说明STARTTLS功能本身是正常的，问题出在Google MTA的安全校验环节没有通过，所以才选择忽略STARTTLS选项。

备注：内容来源于stack exchange，提问作者Ronnie Overby