Ob IMAP nun ein Risikofaktor darstellt, hängt ja stark von der Verwendungsweise ab. Benutze ich es auf unsicheren Geräten oder fremden Rechnern, um meine Mails abzurufen/zu versenden, von denen man nicht weiß, ob sie automatisch meine eingegebenen Zugangsdaten speichern, ist von IMAP abzuraten. Hierfür ist die 2FA die geeignete Login Methode.
Habe ich für IMAP aber ein starkes Passwort, das ich sicher verwahre und bin mir sicher, dass dieses auch beim Login nicht abgegriffen wird, sehe ich kein Problem mit der IMAP (oder auch POP) Abfrage. Eine zusätzliche Sicherheit bietet natürlich eine Verschlüsselung des Rechners, um auch im Falle eines Hardwarediebstahls nicht so einfach Zugriff auf die Daten zu bieten.
Bei Mailboxorg im Forum taucht oft die Forderung nach einem geschützteren Abruf auf (z.B. Neue 2fa Implementierung absehbar? oder Warum ist die Zwei-Faktor-Authentifizierung so unglaublich umständlich und verwirrend aufgebaut? oder Zusätzliche Passwörter für Applikationen oder OTP und 2FA: Bitte auch für IMAP und POP3 und SMTP), verbunden mit dem Ergebnis, dass Mailbox daran arbeitet, eine Implementierung aber nicht absehbar ist.
Insbesondere sehen viele die Möglichkeit, Applikationspasswörter für Mailclients vergeben zu können, als nötigen Schutz für eine sichere IMAP Verwendung.
Peer Heinlein hatte dazu in einem Beitrag, der nicht mehr existiert (warum hier), gesagt, dass dies auf den Mailboxsystemen nicht so einfach umzusetzen ist, um für wirklich mehr Sicherheit zu sorgen und dass es bei anderen Anbietern, die so etwas ermöglichen, oft mehr Schein ist, als wirkliche zusätzliche Sicherheit.
In meinen Augen bietet hier das verschlüsselte Postfach bei Mailboxorg eine gute zusätzliche Sicherheit, da man noch das Passwort für den Guard braucht, um an seine Mails zu kommen. Sieht man nun sein Smartphone als nicht sicheres Gerät an und will man aber trotzdem nicht mit dem Webclient und einem 2FA, sondern über einem Mailclient von unterwegs über IMAP über neu eingegangenen Mails informiert werden, kann man nun seine Mails abrufen, sieht aber nur den Header, kann die verschlüsselte Mail ohne das Guardpasswort aber nicht öffnen. Bleiben natürlich noch die sichtbaren Metadaten und die Möglichkeit Mails zu senden.
Hier nochmal eine Verdeutlichung des Hinweises bei Verwendung eines Mailclients und IMAP von
was er schon einmal in diesem Beitrag angesprochen hat und ich die Problematik erst garnicht verstanden habe.
Habe ich bei Mailboxorg (und vermutlich auch anderen Anbietern) die Postfachverschlüsselung aktiviert und benutze einen Mailclient, anstatt den Webclient, bleiben versendete Mails unverschlüsselt lokal auf dem Rechner, auch wenn sie im „gesendet Ordner“ bei Mailboxorg auf den Servern verschlüsselt sind. Die Mails werden bei einer IMAP Synchronisierung also nicht wirklich vom Mailboxserver heruntergeladen.
Ich denke dies ist besonders für Leute wichtig zu wissen, deren Gerät nicht selber verschlüsselt ist oder bei einem Gerät wie ein Smartphone, dass vielleicht per se als weniger sicher anzusehen ist, als der heimische verschlüsselte PC.
Abhilfe schafft da nur, entweder auf das Versenden von Mails zu verzichten oder der von M-u-m-p-i-t-z beschriebene Weg, die gesendeten Mails in Kopie an sich selbst zu verschicken und nicht in den Gesendet Ordner des Mailclients kopieren zu lassen. Auch nachzulesen bei Mail.de ganz unten im Beitrag, die nur die Verschlüsselung des Posteinganges anbieten.