Отправляю с корпоративного почтового сервера письма на Gmail с использованием TLS, а они помечаются красным значком "Без шифрования" и хинтом:
Сообщение не было зашифровано
После долгих манипуляцию проблема была найдена в неожиданном месте. Трафик шёл через роутер Cisco ASA, на котором была включена инспекция траффика. ESMTP Inspection обеспечивает защиту от SMTP-based атак через запрещение некоторых команд. По умолчанию в конфигурации выставлено inspect esmtp. А в ASDM выставлено Use the default ESMTP inspection map.
В хелпе найдено следующее:
Encrypted connections are not allowed. The STARTTLS indication is removed from the session connection attempt, forcing the client and server to negotiate a plain text session, which can be inspected.
Удивительно, но железяка, которая должна работать на усиление информационной безопасности, снижает безопасность при пересылке писем. Отключаем инспекцию ESMTP.
После снятия галки ESMTP картина стала такой: