SSLを使わずにメール送信(SMTP)する場合

認証の方法によります。 LOGIN認証やPLAIN認証だと平文でアカウント、パスワードが送信されるので、通信を傍受している人にはアカウント、パスワードは筒抜けです。 CRAM認証を使うと、チャレンジとパスワードから生成されたハッシュ値しか通信路を流れないので、傍受している人にはパスワードはわかりません。 ただ、SSLを使っていない場合パスワードが分からなくても色々と悪さをされる可能性はあります。SSLには改ざん防止機能が入っているので、SMTP AUTHで認証した上で送られたメールが確かにあなたから送られたメールだという保証がありますが、SSLではない通信路でメールを送った場合、あなたのマシンとサーバーの間の通信を乗っ取ってなりすましをされる可能性もあります。あるいは、あなたのマシンとサーバーの間に入り込んで認証だけあなたにさせてそれ以降は自由にコマンドを投げるということもできます。(いわゆるman in the middle attackです。) まとめると、 PLAIN / LOGIN認証だとパスワードがバレますが、CRAM認証だとパスワードはわかりません。 ただ、パスワードなどは盗聴者にわからなくても、中間者となり、あなたになりすましてメールを送られる可能性はあります。