Naturalmente, dovresti fare una valutazione del rischio dettagliata per rispondere a questa domanda, ma alcuni punti che possono rassicurarti:
- Exchange crittografa sempre tutto il traffico RPC, client-server e server-server. Si affida al sistema operativo per questo, quindi l'algoritmo varia: penso che sia in genere RSA o CAST?
- E crittografa sempre tutto il traffico HTTP interno con TLS.
- Per impostazione predefinita, tenta sempre di utilizzare TLS quando si parla di host di posta esterni (e si può impedire che ricada sul semplice SMTP su base host)
- Tutti i client remoti si connettono tramite HTTPS.
- Exchange dispone di agganci per una stretta integrazione con sistemi anti-malware, anti-spam e di backup, sia da MS che da altri fornitori.
- Exchange ha una stretta integrazione BES per Blackberry; e gli iPhone utilizzano Microsoft ActiveSync per la loro email push, progettata per Exchange.
- Exchange ha opzioni di topologia che ti permettono di inserire un limitatore di funzionalità limitato nella DMZ.
- Exchange supporta IRM e S / MIME per la crittografia / firma di singoli messaggi.
- Exchange ha caratteristiche di resilienza / recuperabilità piuttosto complete
- Exchange include opzioni di conformità incorporate (ad es. conservazione e rilevamento delle email)
Per la tua specifica domanda di Outlook, Outlook ha una funzionalità chiamata Outlook via Internet che avvolge il suo traffico RPC in HTTPS. Viene utilizzato automaticamente quando il client rileva che non si trova all'interno della rete.
Tuttavia, Exchange non esegue alcuna autenticazione, dipende interamente da Active Directory, in realtà non esiste una cosa come un "account di Exchange", quindi avere password di accesso e di posta elettronica separate non è banale. Alcune persone lo gestiscono, credo, avendo un dominio AD separato per Exchange, ma questo significa molto lavoro extra.