Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
So wie ich das sehe, kommt irgendwann die Aufforderung auf 2FA umzustellen. Die Umstellung aller Konten ist halt nicht auf einen Schlag möglich und wird vermutlich verpflichtend.
Und genau das ist das Problem: Bekommt der Angreifer das App Passwort, kann er sich von überall völlig ohne 2. Faktor via IMAP connecten.
Mit 2FA hat das alles daher gar nichts zu tun. Das geht mit IMAP schlicht nicht, da es kein Session orientiertes Protokoll ist. Bei jeder neuen Verbindung wird das Passwort aufs neue versendet. Es gibt kein Token oder ähnliches. Und es gibt auch keinen MUA Header analog zu HTTP so dass man auch keine Mail à la "Ein neues Gerät hat sich eingeloggt" versenden kann.
Ich betreibe meinen Mailserver selbst und habe den Dovecot (imapd) eben zusammen mit fail2ban so konfiguriert, dass er recht aggressiv denied. Wenn nun jemand mein Passwort hat, und das ohne Fehlversuche nutzt, hilft mir das natürlich auch nicht.