Perdón, estoy pensando a intervalos, tendría que editar el primer post pero esto es más rápido.

Yo intentaría hacer un script que se encargue del login al webmail, que postee utilizando CURL el usuario y contraseña a loginMail.asp para levantar una sesión en el webmail, y que luego de levantar una sesión, capture el session_id y redirija al cliente al webmail colocándolo dentro de la sesión creada, sea armando una URL con el session_id incluído o creando en el cliente un cookie con el session_id. Esto va a depender de cómo trabaje loginMail.asp.

Esto puede funcionar en el caso de que el webmail no esté controlando la dirección IP desde la que se logea el usuario.

Todas las demás soluciones son del lado del cliente y siempre van a revelar la contraseña.

Saludos!