Acho que há duas perguntas diferentes sendo feitas aqui, então vou abordá-las separadamente.
Pergunta 1 : O Banner SMTP é necessário para exibir desmascarado para outros servidores de e-mail para usar o TLS?
Resposta: Não, o banner de saudação SMTP em si não determina a elegibilidade para o TLS. Então, se essa é a coisa SOMENTE que é mascarada, isso não deve causar um problema.
Pergunta 2 (parafraseado): O firewall está interferindo nas conexões TLS de entrada?
Resposta: O mais provável. Além de mascarar o banner de saudação, o serviço de inspeção fixup / esmtp nos Cisco Firewalls geralmente aceita apenas comandos específicos.
Não tenho certeza de qual versão / modelo de firewall você está usando, mas de acordo com este nota técnica :
ESMTP inspection operates in the same way that SMTP inspection does. Packets with illegal commands are modified to an "xxxx" pattern and forwarded to the server, which triggers a negative reply. An illegal ESMTP command is any command except for these commands:
AUTH DATA EHLO ETRN HELO HELP HELP MAIL NOOP QUIT RCPT RSET SAML SEND SOML VRFY
Quando servidores externos se conectam e emitem o comando ehlo SMTP, eles verão uma lista de serviços / opções SMTP suportados. Supondo que eles vejam 250-STARTTLS , o servidor de envio emitirá um comando STARTTLS para iniciar a tentativa de usar o TLS. Você notará que este comando não está incluído na lista de comandos acima.
Então, em resumo, suspeito que o seu firewall está interferindo, mas não por causa da saudação do banner. Eu acho que está bloqueando / mascarando o comando STARTTLS do servidor de email remoto.