O seu auditor está ciente de que o B em BEAST significa BROWSER certo?
É praticamente impraticável (embora sim, não inteiramente impossível) que um cliente que não seja um navegador, como um MUA, vaze informações suficientes para comprometer a segurança.
Dito isto, você deve ser capaz de usar os vários parâmetros _cipherlist como fez para o Apache. Você deve certificar-se de não oferecer nenhuma cifra vulnerável (acredito que você atualmente faz com essa lista de cifras, mas eu não estou olhando para as listas expandidas para que eu possa estar errado).
Você também pode desativar tls_preempt_cypherlist caso isso esteja causando problemas na negociação de cifras.
Como outros apontaram, seu servidor de e-mail deve ser uma infraestrutura isolada (e, portanto, geralmente fora do escopo de uma auditoria PCI ). Se o seu auditor estiver bisbilhotando, provavelmente é mais fácil apenas consertá-lo para calá-lo, mas se o seu servidor de e-mail não é uma ilha em si, você realmente precisa se reestruturar para que assim seja. Isso é apenas as práticas recomendadas de segurança padrão.