Postfix peut se connecter aux serveurs distants en cryptant le contenu de la communication. C'est le support de STARTTLS.
Il faut que Postfix supporte SSL (ce qui est le cas par défaut sur Debian). Il faut aussi installer les certificats racines apt-get install ca-certificates

Pour crypter en sortie vers les serveurs le permettant :

# TLS parameters pour SMTPS et STARTTLS
smtp_tls_loglevel = 1
smtp_tls_security_level = may
smtp_tls_CApath = /etc/ssl/certs
smtp_tls_protocols =  TLSv1,  TLSv1.1,  TLSv1.2, !SSLv2, !SSLv3

L'ajout de l'interdiction de SSLv3 sans support TLS est signalée dans les logs par :

Untrusted TLS connection established to smtp.free.fr[2a01:e0c:1::25]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Et si on n'interdit que SSLv2 :

Trusted TLS connection established to smtp.free.fr[2a01:e0c:1::25]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Pour tester une connexion, utiliser openssl s_client -connect SERVEUR:smtp -starttls smtp -CApath /etc/ssl/certs/