De plus en plus de serveurs de mails acceptent d'envoyer les emails dans un tunnel afin qu'ils ne soient plus lus sur le réseau.
On utilise STARTTLS pour cela.

Dans postfix, cela peut être configuré par :

smtpd_tls_CApath = /etc/postfix/ssl/
smtpd_tls_cert_file=/etc/postfix/ssl/mx2.fournier38.fr.pem
smtpd_tls_key_file=/etc/postfix/ssl/mx2.fournier38.fr.key
smtpd_tls_CAfile = /etc/postfix/ssl/mx2.fournier38.fr-chain.pem
smtpd_tls_security_level = may
smtpd_tls_received_header = yes
smtpd_tls_loglevel = 1
smtpd_tls_protocols  = TLSv1,  TLSv1.1,  TLSv1.2, !SSLv2, !SSLv3
smtpd_tls_exclude_ciphers = aNULL, MD5
tls_random_source = dev:/dev/urandom
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

On voit dans les logs les connexions cryptées depuis des serveurs :

Anonymous TLS connection established from server[IP]: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)

Si on oublie la ligne les serveurs ne valident pas le certificat correctement et on a l'erreur

Untrusted TLS connection established to mx1.fournier38.fr[78.239.209.151]:25: TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits)

Après activation de "smtpd_tls_exclude_ciphers = aNULL", les messages sont :

Trusted TLS connection established to mx1.fournier38.fr[78.239.209.151]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)

Pour tester une connexion, utiliser openssl s_client -connect SERVEUR:smtp -starttls smtp