Cuando examiné un escaneo NMAP -sV en un host que ejecuta Exim en el puerto 465, usa el escaneo SYN estándar para determinar si el puerto está abierto, y luego emite un saludo de cliente al que el servidor responde con un saludo de servidor. Existe un protocolo de enlace cifrado de NMAP y datos de aplicación del servidor, pero nada parece sugerir cómo NMAP determina qué se está ejecutando en el puerto, lo cual es bastante diferente a cómo identifica otros servicios como IMAP o POP3. Entonces, ¿cómo lo hace?