Postfix 3.3.1 en Centos 8 no puede habilitar TLSv1 o TLSv1.1

Recientemente migré mi servidor de correo principal a uno nuevo; el anterior había estado funcionando durante casi 10 años y era el servidor de producción para alrededor de 20 dominios y más de 40 buzones de correo.

Todo salió bien y la configuración no es muy diferente a la anterior, aunque postfix y dovecot son más recientes.

Sin embargo, un problema que tengo es habilitar al menos TLSv1.1 por razones de compatibilidad. Veo en los registros muchos errores de conexión relacionados con TLS y tengo un cliente obstinado que usa Apple Mail en El Capitain que no es compatible con TLSv1.2.

Necesito tener esto habilitado durante al menos un año para dar tiempo a las actualizaciones. El problema es que no importa lo que especifique en el postfix main.cf, solo servirá para TLSv1.2 y versiones posteriores.

    smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtpd_tls_protocols = !SSLv2, !SSLv3

y

    smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
    smtp_tls_protocols = !SSLv2, !SSLv3

pero si pruebo con testssl.sh siempre obtengo

     Testing protocols via sockets 
    
     SSLv2      not offered (OK)
     SSLv3      not offered (OK)
     TLS 1      not offered
     TLS 1.1    not offered
     TLS 1.2    offered (OK)
     TLS 1.3    offered (OK): final

en el puerto 25, envío o smtps. ¿Hay algo que me perdí en centos8 para habilitar TLSv1.1?

Editar: si especifico esto para el smptd

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, TLSv1, TLSv1.1

El resultado de la prueba es:

 Testing protocols via sockets 

 SSLv2      not offered (OK)
 SSLv3      not offered (OK)
 TLS 1      not offered
 TLS 1.1    not offered
 TLS 1.2    not offered
 TLS 1.3    offered (OK): final

¿Entonces ahora desactiva TLSv2? ¿Estoy haciendo algo mal en el archivo de configuración? Sé que la sintaxis cambió en 3.6 pero ésta también debería funcionar.