Sarò più o meno d'accordo con @Julian Knight (+1) e sostengo che si tratta di bilanciare costi, convenienza e sicurezza. È sicuramente vero che, una volta che le informazioni lasciano i tuoi server di posta, non puoi fare nulla in termini di protezione. D'altra parte, vuoi che i tuoi fornitori siano in grado di leggere le email .
Si potrebbe sostenere che l'implementazione del proprio sistema di posta elettronica (ad esempio posizionando Office 365 sul server di Exchange o anche qualcosa di molto più semplice come webpine) invece di inoltrare semplicemente la posta elettronica ad altri client di posta impedirà l'invio dei messaggi ai server. a meno che l'utente non abbia effettuato l'accesso. Tuttavia, quando l'utente effettua il login e vede l'e-mail nulla può impedirgli di copiare e incollare il testo dell'email in un editor di testo .
Quindi non c'è un reale miglioramento della sicurezza nel rotolare il tuo sistema di posta elettronica invece di fornire l'accesso IMAP o POP3, ovviamente su TLS (che non è lo stesso di inoltro ma può essere fatto funzionare come tale con qualche tipo di lavoro periodico). Il testo dell'email finirà sempre sul computer dell'appaltatore per consentirgli di leggerlo.
Inoltre, il rollover del proprio sistema o l'obbligo per gli appaltatori di utilizzare client specifici potrebbe essere peggio in termini di sicurezza rispetto all'utilizzo di uno standard ben definito come STARTTLS - RFC 7812 . Non solo può subire errori di codifica insignificanti, ma un buon appaltatore può essere tentato di trovare questi errori per automatizzare il recupero della posta elettronica.
Lo sto dicendo per esperienza personale: una società per cui un tempo lavoravo richiedeva a tutti gli utenti di posta elettronica di installare una versione obsoleta di Internet Explorer perché il loro sistema di posta elettronica non funzionava con una versione mai aggiornata. Un piccolo script python con un intelligente User-Agent
e un interprete JavaScript di 10 righe ha fatto il trucco del recupero automatico della posta elettronica.
In sintesi
L'inoltro semplice è una cattiva idea perché l'email può finire su alcuni server di terze parti che non sono né sotto il tuo controllo né sul controllo dell'appaltatore. Eppure (nella maggior parte dei casi), ciò non significa che si dovrebbe consentire l'accesso alla posta elettronica solo attraverso i client approvati. Questo perché, a meno che non pianifichi di investire una grande quantità di tempo di sviluppo e audit per assicurarti che questi client approvati non perdano le email, è meglio usare standard ben conosciuti.
E una volta che permetti a un appaltatore di leggere le e-mail, non dovresti preoccuparti che le e-mail finiscano sul computer dell'appaltatore, finiranno lì indipendentemente da ciò che fai. Se il contraente ha un proprio server di posta elettronica e desidera utilizzare IMAP su TLS per sincronizzare il proprio server con il proprio, non c'è molto che si possa fare per impedirlo. Se ottiene che il server di posta elettronica è compromesso, è colpa sua e non è molto diverso da lui che perde il suo computer insieme ai dati aziendali su di esso.