お疲れ様です。
メール運用のチェックリストとのことですが、このリストの対象は、メールを利用するユーザーさんでしょうか、それともメールサーバーの管理者さんでしょうか？

まず、この2点でチェックする項目が大きく変わってくると思います。

一般的にメールやWeb閲覧など一般的にオフィスにおけるPC利用モラルをベースにしたチェックリストやサーバー運用側のネットワークやOSを含めたチェックリストはあるように思いますが、メールだけに特化したチェックリストはおそらくそう簡単にはないような気がします。

まずは、ターゲットが利用者かサーバー運用者かを確認いただいた上で、何を確認したいのか（ユーザーのモラルなのかスキルなのか？またはサーバー運用における、セキュリティ設計やテクニカルな設定のチェックなのか）を明確にされるとよいと思います。

また、セキュリティと行っても完璧なものはない時代です。
メール運用とありますが、メールにかかわらず、なんかなのワーム感染等が起きた際の連絡先やそれからの対策に対する組織や連絡体制などの部分もしっかり考えておくことが、いろいろな意味でのセキュリティ対策ではないかと思います。

※私どものお客様でも、自社の連絡体制はそのままでSandbox製品などを導入されるケースもありますが、まずはユーザーモラルの徹底と会社内でのセキュリティに対する体制をしっかりと作成することが一番大事で有り、SandboxやUTMは、そのような事態をなるべく起こさないようにするためのソリューションであることを認識しておく必要があると思っております。

お客様先のメール運用について
と言うことは にっしー2さん はメールサーバの管理者 ということでよろしいでしょうか
それでこの「セキュリティレベル評価」は商売にされるのでしょうか　それとも無償奉仕ですか
商売にするなら　システム監査とかＩＴ統制まで踏み込んだ方がいいでしょう　

無償奉仕（サービスという言い方はタダとは限らないので無償と言っておく）として

メール運用に特化したセキュリティチェックリスト
というか　メールについての一般的注意や運用ルールということでよいのでしょうか　たとえば
・私用メール禁止
・件名はメールの内容が判るものにする　　「お願いします」「はじめまして」「ＯＯ社のＸＸＸです」はよくない
・宛先、ＣＣ、ＢＣＣの使い分けをうまく活用しなさい
・添付ファイルはＯＯＭＢまで　　圧縮パスワード付きにして　パスワードは別メールで送る
・署名は　--　ＸＸＸＸＸＸ社　　　　ＯＯＯＯ部　　　＃＃＃＃＃　％％％％％％％％　の形式
．．．
お客の考え方にもよるところがあるので、「添付ファイルは圧縮パスワード付きにして　パスワードは別メールで送る だって？　そんなばかばかしいことはやってられない」というところも（特に外資系）あるようです

desatoさん
ご回答ありがとう御座います。

私はメールサーバ管理者では御座いませんが、情シスの一要員として運用改善等に携わっております。
協力会社なので、商売にしているといえばしていますｗ

IT統制等も課題としてあるのですが、部門の体力がなく、
大掛かりな取組は難しいため、現状私が違和感を感じたメール運用だけ抜き出して
現状の評価と改善案をご提案できればと考えた所存です。

＞というか　メールについての一般的注意や運用ルールということでよいのでしょうか
はい。
おっしゃるとおり、会社に依存するところと承知しておりますが、
お恥ずかしい話、上席が判断できない人で、「第三者の権威がこういっているからこうすべき」という
ものがないとアクションを起こせないため、こういったものを探しておりました。

ご回答ありがとうございました

＞doraemonさん

ご回答ありがとう御座います。

利用者目線のものを探しておりました。

部門の体力的に大掛かりな取組が難しい状況ですので、
メール運用を抜き出しての対応を検討しておりました。

皆様ご回答いただきありがとうございました。

ご意見参考にさせていただきます。