Du sagst zwar, das es angeblich nicht an dem x-token Header liegen, aber das einzige was an dem Request rein offensichtlich mit Authentication zu tun hat ist eben genau der Authentication-Token in dem Header.

Postman schickt den mit und kommt durch, bei der Ausgabe der Raw-Headers von Delphi steht der Header auch nicht drin.
Von daher würde ich jetzt zu allererst mal Fiddler als Debug-Proxy dazwischen klemmen und schauen, ob der Header a) wirklich nicht mit kommt - und nicht lediglich nur nicht ausgegeben wird - und wenn das wirklich der Fall ist dass der Header fehlt, dann b) schauen warum er fehlt und wie man in c) rein bekommt.

Oder ein noch einfacherer Gegentest: Lass den Header in Postman mal weg. Ich würde darauf setzen Du bekommst den gleichen 401er wie Delphi auch.