Ich habe immer noch das Gefühl, dass Du die Begrifflichkeiten durcheinander bringst:
Transport-Verschlüsselung bedeutet, dass E-Mails während der Übertragung zwischen verschiedenen Systemen über das Internet verschlüsselt übertragen werden, sodass innerhalb des Netzwerkes die Datenverbindung nicht mitgelesen werden kann. Diese gibt es zwischen Absender-Client und Mailanbieter, wie auch zwischen Mailanbieter und Mailanbieter und nachher zwischen Mailanbieter und dem Empfänger-Client.
Du als Anwender hast nur die Kontrolle über die Kommunikation zwischen Deinem Client und Deinem Mailanbieter. Bei allen weiteren Übertragungen kannst Du nur darauf vertrauen, dass die anderen beteiligten Personen Ihren Strecken ebenfalls sauber implementieren. Wenn ein Anbieter keine Transport-Verschlüsselung unterstützt kann Dein Mailanbieter entscheiden ob die E-Mail unverschlüsselt. oder gar nicht verschickt wird. Manchmal hast Du als Anwender die Option für spezielle E-Mail-Adressen den Versand / Empfang ohne Transport-Verschlüsselung zu untersagen.
Die Schlagwort für Dich und Deine Clients sind https:// SMTP und IMAP mit SSL oder TLS.
Ende-zu-Ende-Verschlüsselung bei E-Mails bedeutet, dass die Mail-Inhalte vom Absender-E-Mail-Client mit vor dem Versand so verschlüsselt werden, dass diese nur mit einem nur dem Empfänger zugänglichen Schlüssel entschlüsselt werden können. Hierdurch sind die E-Mails auch bei der Ablage auf Serversystemen vor dem Zugriff der Mailanbieter gesichert.
Die Schlagworte für Dich sind (Open)PGP oder S/MIME.
Das Problem bei Ende-zu-Ende-Verschlüsselung ist, dass beide Kommunikationspartner dasselbe Verfahren unterstützen müssen und ein Vertrauenswürdiger Schlüsselaustausch erfolgt sein muss. Auch bieten die meisten Firmen keine Möglichkeit an, dass E-Mails an Dich immer Ende-zu-Ende-Verschlüsselt erfolgen.
Sichere Postfächer (mir fällt kein besserer Begriff ein) Anbieter wie Protonmail (immer), Tuta (immer), Mailbox.org (optional) oder Posteo (optional) bieten die Möglichkeit das unverschlüsselt eingehende E-Mails vor der Ablage im Postfach mit einem persönlichen Schlüssel zumeist (Open)PGP verschlüsselt werden, sodass nach der Verschlüsselung die E-Mail-Inhalte auch vom Anbieter nicht mehr eingesehen werden können.
Ergänzend nutzen Protonmail und Tuta beim Mailversand an andere Postfächer innerhalb des eigenen Dienstes eine automatisierte Verschlüsselung der Mail-Inhalte vor dem Versand. Ausgehende E-Mails zu anderen Mail-Anbietern sind jedoch bei allen vier Diensten wiederum nur transport-verschlüsselt, wenn nicht der Anwender selbst für eine Ende-zu-Ende-Verschlüsselung gesorgt hat.
Die Idee dieser Sicheren Postfächer ist es, dass keine E-Mails unverschlüsselt beim Anbieter gespeichert werden. Jedoch ist es dem Anbieter technisch möglich die noch unverschlüsselten E-Mails vor der Speicherung als unverschlüsselte Kopie „auszuleiten“. Dieses wird auch bei berechtigten Behörden-Anfragen durchgeführt.
War das für Dich verständlich zusammengefasst?
Vielleicht hilft Dir eher ein Bild zum Verständnis. Hierfür unten stehend eine Textuelle Beschreibung der Verbindung und mit den folgenden Kürzeln:
Abs = Absender
Emp = Empfänger
[ ] = Speicherung
—> = Transport
( ) = Verschlüsselung
Beteiligte Parteien
[Abs Client] → [Abs Mail-Anbieter] → [Emp Mailanbieter] → [Emp Client]
Nun mit Klammern die wirkende Verschlüsselung der unterschiedlichen Varianten markiert.
Transport-Verschlüsselung (wobei Du nur den ersten oder letzten Teil kontrollieren kannst)
[Abs Client] (–>) [Abs Mail-Anbieter] (–>) [Emp Mailanbieter] (–>) [Emp Client]
Ende-zu-Ende-Verschlüsselung
( [Abs Client] → [Abs Mail-Anbieter] → [Emp Mailanbieter] → [Emp Client] )
Sicheres Postfach
[Abs Client] → [Abs Mail-Anbieter] → ( [Emp Mailanbieter] → [Emp Client] )
VPN
( [Abs Client] → ) → [Abs Mail-Anbieter] → [Emp Mailanbieter] → ( → [Emp Client] )
Versuch Dir das ggf. noch einmal selber aufzuzeichnen und achte auf die runden Klammern wo die jeweilige Verschlüsselung wirkt und wo diese vor allem nicht mehr wirkt.