Nicht unbedingt - Client und Server einigen sich auf einen Algo. Das kann im schlimmsten Fall aber auch Plain Text sein (wenn das Paßwort z.B. auf Server Seite zur weiteren Authentifizierung gebraucht wird, z.B. für PAM). Es gibt auch Implementierungen (z.B. mittels dem sasl Frameworks) die nur beim ersten mal auf Plain Text bestehen um es gegen eine andere Authentifzierungsstelle zu prüfen und dann sich das Paßwort merken damit nächstes mal das ganze per MD5-Hashs und was es da noch so alles lustiges gibt funzt.

Bei Server-Server Kommunikation kommt heutzutage meist TLS zum Einsatz (zumindest richten das aktuelle Sendmail/Exim/* MTA's sich gleich so ein) - allerdings werden hier wohl abgesehen bei großen Unternehmen selbstsignierte Zertifikate angewendet was das ganze wieder anfällig für man-in-the-middle-attacks anfällig macht (bzw. hab ich auch noch nie ne Mail gesehen die wegen einem ungültigen Zertifikat zurück kam).