O SMTP não é inseguro, fornece perfeitamente o nível de segurança para o qual foi projetado - que não é nenhum - não pode ser considerado inseguro, pois não há segurança para subverter. Um protocolo pode ser considerado inseguro onde foi projetado para oferecer um nível de segurança e não consegue fazê-lo - a segurança sem fio WEP é um exemplo de protocolo inseguro.
Semântica à parte, o SMTP não oferece segurança e, portanto, não deve ser usado como um transporte para dados confidenciais. Pode ser que você use o TLS para fornecer um canal seguro para o servidor SMTP, mas somente a comunicação entre o cliente e o servidor é criptografada. O email em si é normalmente armazenado em texto simples no servidor.
Esse servidor deve então entregar o email ao servidor de destinatários e, em seguida, o servidor de destinatários deve entregar o email ao destinatário. Pode haver vários saltos pelos quais o e-mail passa em seu caminho e, em momento algum, há qualquer garantia de que os saltos do servidor para o servidor e do servidor para o destinatário estejam criptografados. Na verdade, geralmente é o caso que eles não são.
Se você quiser usar o SMTP como um meio seguro para transmitir dados, uma boa solução seria usar algo como GPG / PGP que permitirá criptografar o email (automaticamente) durante a composição e descriptografá-lo somente no destino, e somente pelo destinatário (desde que a chave de criptografia não seja comprometida, assim como com qualquer forma de criptografia). O GPG / PGP é bem suportado em muitos clientes de email.