Teljesen mind1, hogy hol a tárolás, megint a részleteken lovagoltok.
Dehogy mindegy.
Mind2-t el lehet érni a kliensből, autentikációval.
Ez általában nem jó ötlet.
Teljesen mind1, hogy jelszóval autentikálok be a db-be vagy key-el vagy tokennel, a kliens alkalmazásból el lehet oda jutni és letölteni a tartalmát.
Nem, ez sem mindegy! Nem mindegy, hogy van a kliensnek mondjuk egy rövidlejáratú tokenje, amivel utána egy API-n keresztül tud bizonyos címekre, bizonyos tartalommal emailt küldeni, vagy megkapja a kliens az SMTP jelszót, aztán a te relay-eden ekresztül spammelheti tele a világot. Végülis mindkettőt el lehet lopni, de egyáltalán nem mindegy, melyiket tudják elvinni. :)