Was du noch testen könntest ist dass du dieses Paket hier von Microsoft herunterlädst,
http://www.microsoft.com/en-us/download…s.aspx?id=41084
installierst und dann unter Optionen | "S/MIME und TLS" im Bereich "S/MIME-Engine" auf Microsoft Crypto API umstellst. Die restlichen Optionen kannst du so lassen. Die sporadischen Hänger wirst du damit zwar vermutlich nicht wegkriegen, aber möglicherweise die Meldung "unknown CA Certificate".
Hast du in The Bat noch weitere Konten außer den GMX konnten?
Ist sicher, dass die "unknown CA Certificate"-Meldung nicht durch ein anderes Konto verursacht wird?