Eu acho que você pode estar chegando a isso com um equívoco que SFTP é de alguma forma derivado de FTP e que um cliente SFTP pode "fallback" para simples de FTP no caso de SFTP não está sendo oferecido por um computador servidor .
O SFTP é o Protocolo de Transferência de Arquivos SSH e é transportado por SSH (a porta TCP 22 no servidor, por padrão). Se o servidor remoto não estiver escutando na porta TCP 22 (que você pode verificar com TELNET), então, as probabilidades são, você não estará fazendo SFTP (a menos que eles estejam executando o daemon SSH em alguma porta não padrão) ).
Em SOs * nix e, presumivelmente, MacOS X (já que é tudo Unix-ey), você pode usar a linha de comando sftp
client do projeto OpenSSH.
No Windows, o cliente WinSCP é um cliente SFTP gráfico muito interessante.
A página do SFTP na Wikipedia fornece alguns links para vários clientes do SFTP.
Proteger um servidor SFTP é, na maioria das vezes, apenas proteger um servidor SSH. Não usando autenticação de senha, não permitindo logons de raiz remota, limitando os IPs que podem fazer conexões, etc.