Google, Microsoft und Co sind in sofern Ausnahmen, weil die nicht auf irgendwelche Standard-IMAP-Server im Hintergrund setzen, sondern eben einen eigenentwickelten Mailserver. Der andere, zumeist proprietäre Schnittstellen bietet (deshalb bindet man Outlook an einen Exchange-/Office365-Server ja z.B. auch nicht per IMAP an), und dort natürlich unterschiedliche Zugangsmechanismen einbauen kannst.
Wenn Du als "normaler" Provider Maildienste bereitstellst, dann in der Regel mit einem Standard-IMAP-Server und einem fertigen Webmail-Tool da dran, und die beiden reden IMAP miteinander.
Ein solches Webmail-Tool dann per 2FA abzusichern, während IMAP-Zugang weiterhin möglich ist, schließt sich rein logisch aus. Denn was man dann machen müsste, wäre:
- Du loggst Dich im Anbieter-Webmail ein, identifizierst Dich per 2FA
- Das Anbieter-Webmail guckt im Hintergrund nach, welches Deine IMAP-Zugangsdaten sind
- und verbindet sich mit diesen dann mit dem Mailserver
Das kann man machen, aber:
- Der Anbieter muss dazu Dein IMAP irgendwo speichern. Eigentlich versucht man ja, so viel wie möglich über Einwegverschlüsselung zu lösen (d.h. der Anbieter bzw. sein Mailserver speichert eine kryptografische Prüfsumme, mit deren Hilfe man beim Login "nachrechnen" kann, ob Du das richtige Passwort kanntest, aber aus der man das Passwort nicht zurück-rechnen kann). Hier aber braucht der Anbieter ja das Passwort, um sich nach deinem 2FA-Login intern mit dem Mailserver zu verbinden, und das ist eher ein Sicherheitsverlust.
- Gleichzeitig willst Du trotzdem per IMAP zugreifen. Wenn das aber möglich sein soll (ohne 2FA), wer würde Dich oder einen anderen daran hindern, einfach - womöglich bei AllInkl selbst in deren Webspace) ein Standard-IMAP-Webmail-Tool zu installieren? Und mit dem könnte man dann das 2FA umgehen und rein über Zugangsdaten auf Deine Mails zugreifen.
- Und wenn Du befürchtest, dass Dein Rechner kompromittiert ist und jemand Deine Zugangsdaten "abfangen" könnte, dann sind die IMAP-Passwörter sogar einfacher zu klauen als abgefangene Webmail-Zugangsdaten.
Also aus meiner Sicht ist das, was Du haben willst, also Augenwischerei und wäre für mich kein Kriterium für einen Providerwechsel.
Keine Regel ohne Ausnahme: Wenn Du Webmail-Zugriff auf fremden PCs brauchst ("im Internet-Cafe"), dann ist es natürlich ein Unterschied, ob Du ein dauerhaftes oder ein 2FA-Sitzungspasswort eingibst. Aber: Lieber würde ich einem Kollegen meine Zugangsdaten geben, damit er sich per Firmennotebook in mein Webmail einloggt und mir eine Mail vorliest, als dass ich an einem "fremden" Computer (selbst den meiner Eltern) meine Zugangsdaten eintrage. Dafür brauche ich dann auch kein 2FA
Um das klar abzugrenzen:
- 2FA bei deaktiviertem IMAP-Zugriff ist ein Sicherheitsplus, weil es hier andere Möglichkeiten der Passwort-Sicherheit gäbe (da nur der Provider selbst das IMAP-Passwort kennen muss, aber nicht der Kunde, könnte das regelmäßiger rotieren, vielleicht sogar on demand für diese Sitzung gesetzt werden uvam
- 2FA bei Nicht-IMAP-Diensten wie Google, Office365&Co haben ihre Daseinsberechtigung darin, dass man über deren Web-Zugriff ja viel mehr machen kann als über einen IMAP-Connect
