Per verificare i protocolli di cifratura supportati dal server ad esempio sulla connessione 587/TCP submission si può utilizzare nmap con lo script ssl-enum-ciphers (forniti dai pacchetti Debian nmap e nmap-common rispettivamente).
Questo è un esempio su una Debian 12 Bookworm con Postfix 3.7.6:
nmap --script ssl-enum-ciphers -p 587 mail.rigacci.org | grep TLSv | TLSv1.0: | TLSv1.1: | TLSv1.2: | TLSv1.3:
Su una Debian 9 Stretch con Postfix 3.1.15 manca il protocollo TLSv1.3.
È possibile fare la stessa interrogazione anche sulla porta 25/TCP smtp, anche se in generale la crittografia sulla posta in arrivo dovrebbe essere facoltativa (maggio 2024).
Ecco alcuni parametri di Postfix relativi ai protocolli di cifratura supportati (Postfix 3.7.6 su Debian 12 Bookworm):
smtpd_tls_security_level = may smtpd_tls_mandatory_ciphers = medium smtpd_tls_mandatory_exclude_ciphers = smtpd_tls_mandatory_protocols = >=TLSv1 smtpd_tls_protocols = >=TLSv1 tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH
Gli stessi parametri predefiniti in Debian Postfix 3.1.15:
smtpd_tls_security_level = may smtpd_tls_mandatory_ciphers = medium smtpd_tls_mandatory_exclude_ciphers = smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 smtpd_tls_protocols = !SSLv2, !SSLv3 tls_medium_cipherlist = aNULL:-aNULL:HIGH:MEDIUM:+RC4:@STRENGTH