Outlook è “non compilant” per la PEC?

Domanda da 100 milioni di dollari: io sono giunto alla mia conclusione, ma mi piacerebbe ragionare con voi se effettivamente ho preso un abbaglio… premettendo che se così fosse, tutti gli operatori PEC non starebbero rispettando la normativa vigente.
Il punto di domanda (anzi escalmativo) riguarda l’autenticazione tramite SMTP-AUTH che, a mio avviso, non rispetta la richiesta di Digit-PA di avere tutte le comunicazioni tra server e client criptate.
E’ un dato di fatto che Outlook non invii al server i dati di autenticazione se, nella risposta al comando EHLO “nomehost”, non trova la voce “250-AUTH PLAIN LOGIN” (“250-AUTH=PLAIN LOGIN” per le vecchie versioni di Outlook), che indica al client che il server supporta l’autenticazione PLAIN (password in chiaro) o LOGIN (password codificata in Base64); Outlook difatti non permette di usare l’autenticazione con password criptata attraverso il protocollo CRAM-MD5.
Lasciando questa impostazione “aperta” ci si deve fidare del fatto che il client faccia partire il criptaggio della sessione attraverso il comando STARTTLS prima di inviare i dati di autenticazione, altrimenti questi passano in chiaro (o incapsulato con il protocollo Base64) e non si risponde pienamente alla normativa.
Però se in Postfix si forza il parametro “smtpd_tls_auth_only = yes” che serve appunto per richiedere che il client faccia partire il protocollo TLS prima di inviare i dati di autenticazione, Postfix risponde al comando EHLO senza inviare “250-AUTH PLAIN LOGIN” in quanto lo invierebbe solo dopo lo STARTTLS e Outlook si comporta ignorando i paramentri di autenticazione.
Cosa ne pensate?