¿Puede un proveedor de VPN leer mis correos?

Sí. En su caso, dado que la VPN se conecta a su empresa, es posible que tengan visibilidad de su tráfico web saliente. Verán cualquier cosa a través de HTTP simple, pero muchas empresas hoy en día están rompiendo SSL / TLS en sus límites para inspeccionarlo. Un buen indicador para verificar si están haciendo esto es ir a un sitio que usa HTTPS (como Google) y luego hacer clic en el icono de candado en su navegador para ver el certificado. Si el certificado no tiene la información de Google en todos los campos, significa que están descifrando HTTPS y pueden ver su tráfico.

Muchas empresas instalan sus propios certificados de CA SSL para que puedan descifrar HTTPS traffic. Básicamente, esto permite a la compañía realizar un ataque Man In The Middle en la conexión HTTPS cifrada y leer el tráfico en texto sin formato.

Si está usando una computadora que le entregaron y configuró su compañía, es posible que hayan instalado uno de estos certificados en su computadora. Si esta es su propia PC personal, y su compañía nunca ha instalado software en ella o la ha configurado, es poco probable que hayan instalado su propio certificado de CA falso.

Deberías poder comprobar esto tú mismo. Tendrá que ir al sitio de su proveedor de correo y examinar el certificado recibido. Esto se hace de diferentes maneras en diferentes navegadores. En Chrome, pulse F12 , en la consola que se creó, vaya a la pestaña de seguridad y haga clic en Ver certificado.

Para Mail.com a partir de mayo de 2018, veo:

Common Name (CN)    GeoTrust RSA CA 2018
Organization (O)    DigiCert Inc
Organizational Unit (OU)    www.digicert.com

DigiCert es una autoridad de certificación legítima.

Si es emitido por una autoridad de certificación legítima como Digicert arriba, su compañía está a salvo de ser vista por usted. Si es emitido por otra cosa, como su compañía u otra CA falsa creada por un dispositivo de red, su compañía puede potencialmente leer su correo electrónico.