Я залатал Постфикс + Dovecot сервер против DROWN атака (Я отключил sslv2 и sslv3).
https://test.drownattack.com
Shows :25
vulnerable to CVE-2016-0703
:110
vulnerable to CVE-2016-0703
...
Впоследствии, если я подключусь к командной строке OpenSSLс s_client используя -ssl2 переключить то протокол не поддерживается. Могу ли я расценить это как неправильное обнаружение их сканером?
Порт 110 - порт по умолчанию для POP3, который исторически является протоколом открытого текста, но который был расширен для поддержки STARTTLS для согласования и обновления до зашифрованного соединения через этот открытый текстовый канал.
Вы бы проверили это с помощью -starttls переключатель в openssl:
openssl s_client -starttls pop3 -connect host:110
Без использования starttls чтобы выбрать правильный протокол для согласования шифрования, openssl не сможет обнаружить поддержку шифрования и таких опций, как -ssl2 или -no_ssl2 все равно потерпит неудачу.
То же самое верно и для порта 25, но затем с smtp протокол ...