Ganz ehrlich, ich würde auch einen eigenen Mailserver nicht mehr unsicher über Port 25 verschicken lassen.
Wo steht denn, daß dass "unsicher" sein muß? Oder wolltest Du gar nicht "Port 25 == unsicher" postulieren?
Ein fremder SMTP-Server kontaktiert ein Relay (oder den Zielhost, das ist egal) normalerweise erst mal auf Port 25 (der Port 465 für SMTPS muß nicht von jedem SMTP-Server unterstützt werden und eine "Anzeige" dafür - im DNS oder so - gibt es auch nicht - wenn der Sender das "probieren" möchte, ist das seine Sache) und stellt dann in der EHLO-Antwort fest, ob der Server STARTTLS versteht. Dann kann er immer noch auf TLS umschalten, wenn er (oder der Empfänger-Server) das möchte und die Verbindung ist sicher.
Nur kann die FRITZ!Box das halt ohne "deep packet inspection" nicht feststellen, ob ein Mail-Versand über TLS stattfindet oder nicht - auch wird das sicherlich eher wg. Spam-Versand durch irgendwelche Apps bzw. infizierten Geräte im LAN gesperrt und weniger wg. der Frage der Sicherheit.
Wenn man solche Vorkehrungen trifft, rechnet man ja offenbar mit infizierten Geräten im LAN - oder man wollte hier nur zu den Speedports aufholen, die das schon vor den FRITZ!Boxen wegfilterten an Telekom-Anschlüssen, wo man sich erst einen abbrechen mußte, wenn man einen anderen Mail-Server (und dann noch einen auf Port 25) verwenden wollte.
Auch hier hat AVM m.E. noch eine "Versorgungslücke" in der Implementierung, selbst wenn viele Mail-Server beim ersten "Einliefern" inzwischen auf "submission" setzen ... aber eine Ausnahme für einen Mail-Server sollte man schon hinterlegen können, auch wenn man Port 25 ansonsten gesperrt haben möchte.
Diese "alles oder nichts"-Option verhindert eben auch die Benutzung eines (gültigen) Mail-Kontos zum Versand von irgendeinem LAN-Host, solange der zugehörige Server nur auf Port 25 seine Dienste als Briefkasten offeriert.
