Como posso ver quais cifras um cliente tentou conectar ao meu servidor postfix?

Depurando os conjuntos de cifras oferecidos

Você pode adicionar o endereço IP do cliente conforme debug_peer_listsugerido em Postfix Debugging Howto .

Lista opcional de padrões de destino do próximo salto, nome do cliente ou servidor remoto ou endereço de rede que, se correspondidos, fazem com que o nível de registro detalhado aumente na quantidade especificada em $debug_peer_level.

Os logs padrão debug_peer_level = 2:

• A conversa SMTP completa com comandos e respostas.
• Quaisquer erros ou respostas incomuns do servidor remoto.
• A negociação de protocolos e quaisquer tentativas de handshake TLS.

postfix/smtpd[123]: connect from mail.example.com[192.0.2.1]
postfix/smtpd[123]: 1A2B3C4D5E: client=mail.example.com[192.0.2.1]
postfix/smtpd[123]: 1A2B3C4D5E: SSL/TLS session started
postfix/smtpd[123]: 1A2B3C4D5E: SSL/TLS handshake failed: no shared cipher suites
postfix/smtpd[123]: 1A2B3C4D5E: warning: no common cipher suites found for TLS negotiation
postfix/smtpd[123]: 1A2B3C4D5E: disconnect from mail.example.com[192.0.2.1] ehlo=1 starttls=0/1

Como você quer ver as cifras que o cliente está oferecendo, você precisa aumentar o nível de depuração em um.

debug_peer_level = 3

Isso produziria algo como isto:

postfix/smtpd[123]: connect from mail.example.com[192.0.2.1]
postfix/smtpd[123]: 1A2B3C4D5E: client=mail.example.com[192.0.2.1]
postfix/smtpd[123]: 1A2B3C4D5E: SSL/TLS session started
postfix/smtpd[123]: 1A2B3C4D5E: cipher suites offered by mail.example.com: ECDHE-RSA-AES128-GCM-SHA256, ECDHE-RSA-AES256-SHA384, DHE-RSA-AES128-SHA256
postfix/smtpd[123]: 1A2B3C4D5E: cipher suites offered by server: ECDHE-RSA-AES256-GCM-SHA384, AES128-SHA256, AES128-GCM-SHA256
postfix/smtpd[123]: 1A2B3C4D5E: SSL/TLS handshake failed: no common cipher suites
postfix/smtpd[123]: 1A2B3C4D5E: warning: no common cipher suites found for TLS negotiation
postfix/smtpd[123]: 1A2B3C4D5E: disconnect from mail.example.com[192.0.2.1] ehlo=1 starttls=0/1

O que mais pode estar errado? Certificado incompatível!

Isso error:0A0000C1:SSL routines::no shared ciphertambém pode ser causado pelos diferentes tipos de certificados. Nesse caso, você verá que há conjuntos de cifras comuns nas listas, mas eles não são usados.

Por exemplo, seu servidor poderia ter apenas certificado ECC disponível e o cliente suporta apenas certificados RSA. Isso daria exatamente o erro que você obteve, e sua tentativa de depuração seria muito confusa, mostrando algo como isto:

postfix/smtpd[123]: 1A2B3C4D5E: cipher suites offered by mail.example.com: ECDHE-RSA-AES256-GCM-SHA384, ECDHE-RSA-AES128-GCM-SHA256, DHE-RSA-AES256-GCM-SHA384
postfix/smtpd[123]: 1A2B3C4D5E: cipher suites offered by server: ECDHE-RSA-AES256-GCM-SHA384, AES128-SHA256, AES128-GCM-SHA256, ECDHE-ECDSA-AES256-GCM-SHA384, ECDHE-ECDSA-AES128-GCM-SHA256
postfix/smtpd[123]: 1A2B3C4D5E: warning: TLS library problem: error:0A0000C1:SSL routines::no shared cipher:../ssl/statem/statem_srvr.c:2220:

Isso aconteceu muito depois que a Let's Encrypt começou a emitir certificados ECC por padrão:

• Como obter certificados ECC e RSA do Let's Encrypt para Postfix?