Para o Spamhouse e bancos de dados semelhantes, a única coisa que importa é como seu servidor de e-mail é protegido contra o uso de spam, e não como seus clientes trabalham.
Isso significa que sua análise está correta: você protegerá o acesso externo com autenticação (IMAP e SMTP-AUTH) e criptografia para evitar credenciais roubadas (IMAP e SMTP por TLS / SSL e negará autenticação a clientes que não usam criptografia).
Lembre-se de que SMTP-AUTH não significa que toda a conversa SMTP esteja criptografada, significa apenas que a sessão SMTP é autenticada com um de vários métodos (alguns são simples, alguns são simplesmente ofuscados, alguns são criptografados). Você deve ativar o SSL / TLS no IMAP e no SMTP, depois disso você pode até permitir a autenticação de "texto sem formatação" porque esse texto simples viajará dentro de uma conexão SSL.
A outra coisa que vale a pena mencionar é que você não é necessário para executar protocolos protegidos em sua LAN, pelo menos se você tem 100% de certeza da segurança física do último (você pode realmente ser ?), mas será mais fácil se você executar tudo igual.
Mais fácil para a administração do servidor e mais fácil para a configuração de clientes em trânsito (pense em notebooks, PDAs, smartphones).