Par défaut, les e-mails sont stockés dans la mémoire interne du téléphone, et non sur la carte SD. (Bien que vous puissiez "déplacer" l'application vers le stockage SD, il est donc possible que la carte SD soit utilisée). Comme d'autres l'ont dit, une fois que votre courrier se trouve sur la carte SD, il n'y a plus de protection car la carte SD est amovible (puisque les données ne sont pas cryptées).
Pour le courrier stocké dans la mémoire intégrée du téléphone, un pirate doit déverrouiller le téléphone pour obtenir les données. Soit directement via l'application de messagerie une fois déverrouillée, soit en mettant le téléphone en "mode disque USB" pour lire l'état du téléphone à partir d'un ordinateur connecté en USB. (Un pirate vraiment sophistiqué pourrait probablement démonter votre téléphone et relier la mémoire flash à un lecteur personnalisé, en passant le verrou du téléphone et en lisant vos courriels non cryptés sur la mémoire flash).
Notez que la connexion Exchange permet au serveur Exchange d'envoyer une commande pour effacer votre appareil. (Dans l'interface web de mon serveur de messagerie Exchange, une option permet de dresser la liste des appareils autorisés et de les effacer à distance. Bien sûr, le téléphone doit être sur un réseau pour recevoir cette commande, de sorte qu'un attaquant pourrait retarder cette commande en empêchant le téléphone d'utiliser ses réseaux.