mail.ish.orgの証明書の取得でエラーになるのは、certbotの問題ではなく私の使い方が悪いことが判りました。
X509v3 Subject Alternative Nameにmail6.ish.orgを含ませるには、certbotを実行する際にmail6.ish.orgへhttpアクセスできないと駄目なんですね。IPv6はサービス毎にIPアドレスを分けているので、mail service用のmail6.ish.orgへのhttpアクセスはipfwで落としていました。ipfwでhttpアクセスを通すように変更したら、無事取得できました。
しかし、初期取得時だけでなくcertbot renewでもhttpアクセスを通す必要があるので、cronで実行するならipfwだけでなくapacheのlisten addressも追加しないといけない。また、renewの時はwebrootを使っているけど、webrootでは何故かpeachのIPv6も通らないと駄目なので(standaloneではIPv4にフォールバックするのか大丈夫だったのに)、結局、mail6に加えてpeach(のIPv6)も追加しました。certbot起動時にLet’s Encrypt側が使用するアドレスが判れば、接続元を絞れるのに、FAQにはアドレスリストは公開しないとあるのでちょっと悲しい。