Как читать список шифров OpenSSL

hMailserver - это почтовый сервер Windows с открытым исходным кодом. Для входящей электронной почты он поддерживает STARTTLS с помощью OpenSSL 1.1.1.
Он позволяет настраивать наборы шифров, по умолчанию:

ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:
kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:
ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:
ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:
DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:
AES128-GCM-SHA256:AES256-GCM-SHA384:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:
AES128:AES256:RC4-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK;

Я хотел отключить AES256-GCM-SHA384 , но после его удаления набор шифров все еще предлагался для STARTTLS (по данным тестового сайта https://internet.nl )

В конце концов мне пришлось удалить AES128 , AES256 и HIGH , чтобы остановить AES256-GCM-SHA384 от появления на STARTTLS .

Как мне прочитать этот параметр конфигурации OpenSSL? В последней строке упоминаются автономные AES128 en AES256 . Разве это не означает, что любой шифр с AES128 или AES256 будет разрешен перед тем, как сделать длинный список избыточным?
То же самое и с HIGH , разве это не делает упоминание многих других наборов шифров излишним?

Редактировать: В ответ на вопросы почему я хотят удалить ES256-GCM-SHA384 : они ожидают, что наш почтовый сервер получит отличный результат на тестовом сайте https://internet.nl по контракту с правительством Нидерландов.В AES256-GCM-SHA384 говорится:

По крайней мере, один из ваших почтовых серверов поддерживает один или несколько шифров, которые находятся в статусе поэтапного отказа, поскольку они известны как хрупкие и могут стать недостаточно безопасный.

Вот почему я пытаюсь его отключить.