Wenn er aber über einen SSH-Tunnel seine Mails abruft dann musst du erst ein mal etwas dagegen finden bevor du dich um die eigentlichen pop3-Pakete kümmerst.
Über MITM/ARP-Spoofing die verschlüsselten Datenpakete abfangen ist in der Regel kein Problem, nur kannst du damit nichts anfangen.

Was du also machen könntest: An seine SSH-Zugangsdaten kommen, dich per MITM zwischen ihn und den eigentlichen SSH-Server schalten und so an die pop3-Pakete kommen.
Nur wird das auffallen, da sein SSH-Client ihm melden wird, dass es nicht der richtige SSH-Server ist. Um das zu verhindern müsstest du allerdings wieder Zugriff auf seinen Rechner haben.

Das ist eben gar nicht so ohne.

~noctem