Quando ho esaminato una scansione NMAP -sV su un host che esegue Exim sulla porta 465, utilizza la scansione SYN standard per determinare se la porta è aperta, quindi emette un Client Hello a cui il server risponde con un Server Hello. C'è un Enchanted Handshake da NMAP e Application Data dal server, ma nulla sembra suggerire come NMAP determini cosa sta girando sulla porta, il che è molto diverso da come identifica altri servizi come IMAP o POP3. Quindi, come lo fa?
È lo stesso di qualsiasi altro servizio appena sopra SSL, sospetto. Quindi potresti semplicemente vedere la parte crittografata che è sempre lo stesso protocollo sotto il livello SSL.
Nmap è "abbastanza intelligente" per riconoscere l'incapsulamento SSL. In questo caso, contrassegna la porta come dotata di un tunnel SSL, quindi nei successivi cicli di rilevamento della versione stabilisce il tunnel, quindi invia le stesse sonde che verrebbero inviate al servizio di testo in chiaro.
Si può vedere questo in azione usando stunnel per convertire qualche altro servizio in tunnel SSL, quindi scansionarlo con Nmap mentre si esegue uno sniffer di pacchetti sull'adattatore loopback del computer di destinazione. Vedrai che il traffico sembra identico a Nmap che sta esaminando un servizio non crittografato.
Leggi altre domande sui tag nmap