Non penso che tu debba lavorare su "se mi sniffano la password dell'utente allora spammano dal mio mailserver", ma "non devo permettere che la password dell'utente venga sniffata".
cerco di prendere in considerazione tutto :-)
E' molto, molto, molto grave che a livello aziendale una password venga sniffata. Quindi userai solo protocolli con supporto TLS/SSL (imap ed smtp con TLS).
prima policy è proprio quella: tutto criptato.Ma devo comunque considerare l'eventualità che uno si scriva user+pass su un pezzo di carta e finisca nelle mani "sbagliate" e inizi a fare test di spam attraverso il server... e se non ho implementato nulla.. son cazzi :-)
-- Pol