Você pode usar o serviço stunnel
no modo cliente para ouvir o tráfego não criptografado no host local e depois passá-lo para o Backend SSL.
Exemplo de configuração:
[gmail-pop3]
client = yes
accept = 127.0.0.1:1110
connect = pop.gmail.com:995
Em seguida, aponte nginx
para localhost:1110
como backend e, de fato, ele se conectará ao servidor POP3 do GMail por SSL.