Kurzfassung
- IMAP synchronisiert E-Mails auf allen Geräten, Ordner bleiben auf dem Server. Ideal für mehrere Endgeräte (Laptop/Phone/Tablet). Gefahren: E-Mail-Postfach läuft irgendwann voll, falls Zugang gehakt, dann werden Inhalte und Adressen geklaut.
- POP3 lädt E-Mails vom Server auf ein Gerät und (klassisch) löscht sie vom Server. Gut, wenn Server-Speicher knapp ist oder bewusst lokal archiviert werden soll.
- Sicherheit hängt nicht am Protokoll, sondern an Dingen wie starkem Passwort, 2-Faktor-Anmeldung (2FA), verschlüsselten Verbindungen (TLS), Updates und sauberen Berechtigungen.
Vor- und Nachteile #
| Kriterium | IMAP | POP3 |
|---|---|---|
| Geräte-Sync | Sehr gut, alles überall gleich | Eher schlecht, pro Gerät eigener Stand |
| Server-Speicher | Braucht mehr (Mails bleiben liegen) | Weniger (Mails lokal) |
| Offline-Archiv | Möglich (Client-Export) | Standard (lokal gesichert) |
| Datenverlust bei Geräte-Diebstahl | Geringer (liegt noch am Server) | Höher, wenn keine lokalen Verschlüsselungen/Backups |
| Risiko bei Server-Hack | Höherer Impact (komplette Mailhistorie, Adressbücher/IMAP-Kontakte) | Geringer, wenn Mails nicht mehr am Server liegen |
| Mehrbenutzer-/Team-Tauglichkeit | Gut (gemeinsame Ordner) | Schlecht |
Worst Case: Konto gehackt – was kann passieren? #
- Abzug der gesamten Mailbox: Inhalte, Anhänge, interne Gespräche, Offers/Verträge, Reset-Links.
- Adressmissbrauch: Phishing an Ihre Kontakte („Business-E-Mail-Compromise“), Social Engineering, Identitätsdiebstahl.
- Missbrauch als Spam/Phishing-Absender: Reputationsschäden, Domain landet auf Blacklists.
- Bei IMAP: Angreifer sehen alle Ordner/Verläufe am Server. Bei POP3 hängt es davon ab, was noch auf dem Server liegt und was lokal gespeichert ist (Schutz via Geräteverschlüsselung/Full-Disk-Encryption!).
Rechtliche Pflichten #
Privatnutzer haben keine Meldepflicht nach DSGVO, sollten aber Passwörter ändern, ihre Kontakte warnen, Identitätsmissbrauch prüfen (Konto-Übernahmen, Bestellungen, Bank). Vorsichtig bei späteren z.B. „Enkel-Trick“-Betrügereien, die persönliche Details kennen und bei Verwandten oder Freunden einsetzen.
Für Unternehmen oder Organisationen liegt nach DSGVO ein Vorfall mit Personenbezug vor (Kundendaten, Bewerbungen etc.):
- Meldung an die Aufsichtsbehörde binnen 72 Stunden, sofern ein Risiko für Betroffene besteht (Art. 33 DSGVO).
- Benachrichtigung der Betroffenen „unverzüglich“, wenn ein hohes Risiko besteht (Art. 34 DSGVO).
Hinweis: Das ist keine Rechtsberatung – im Ernstfall Datenschutzbeauftragte/Anwalt hinzuziehen.
Unsere Empfehlung #
Wir empfehlen auf einem Arbeitsgerät (Laptop, Desktop-Rechner, lokalem Server) POP3 mit der Einstellung, dass nach dem Abruf nur die letzten 14-30 Tage auf dem Server belassen werden.
So können auf Smartphone & Tablet die zuletzt eingegangenen Mails zugegriffen werden, während das Archiv bzw. dauerhaft gespeicherten Daten lokal und damit unter Kontrolle des Nutzers bleibt.
Das reduziert Speicherbedarf, Geschäftsrisiko und Missbrauchsmöglichkeiten – Datenminimierung by design.
Warum dieser Weg? #
- Datenhoheit: Der vollständige Mailbestand liegt beim Nutzer, nicht dauerhaft beim Provider.
- Weniger Angriffsfläche: Bei Kontokompromittierung finden Angreifer serverseitig nur einen kurzen Zeitabschnitt (14 oder 30 Tage).
- Kalkulierbare Kosten: Server-Speicher bleibt schlank, Quotas werden nicht dauernd gerissen.
- Alltagstauglich: Mobile Geräte sehen die letzten Nachrichten; das „Langzeit-Archiv“ bleibt auf eurem Rechner.
Programm-Einstellungen: Kurz-Anleitung #
Bei der Programm-Einstellung geht es darum, wie lange sollen die Mails noch auf dem Server zurückgelassen werden, nachdem sie auf dem eigenen Gerät abgerufen wurden.
Ziel: „Kopie auf dem Server nur X Tage behalten, nachdem die E-Mails abgerufen wurden“ (X = 14 oder 30).
- Thunderbird:
Kontoeinstellungen → Server-Einstellungen → „Nachrichten auf dem Server belassen“ an → „Für X Tage belassen“ 14 (oder 30) → „Beim Löschen entfernen“ an. - Outlook (Windows/Mac, POP-Konto):
Kontoeinstellungen → Konto → Weitere Einstellungen → Erweitert → „Kopie der Nachrichten auf dem Server belassen“ an → „Vom Server nach X Tagen entfernen“ 14/30. - Apple Mail (iOS/iPadOS/Mac):
Einstellungen → Mail → Accounts → POP-Account → Erweitert → „Kopie vom Server löschen“ → Nach X Tagen wählen. - Android (Gmail/andere Clients):
Konto → Servereinstellungen → POP3 → „E-Mails auf Server belassen“ an → „Löschen nach“ 14/30 Tagen.
Tipp: Einmal je Gerät prüfen – POP3 lädt Mails pro Gerät. Werden mehrere Rechner und ein gemeinsamer E-Mail-Zugang genutzt, dann festlegen, wer das Archiv führend führt (z.B. Büro-PC).
Wann IMAP sinnvoller sein kann #
Wenn gemeinsame Ordner/Team-Workflows erforderlich sind, eine Suche über gemeinsame Postfächer möglich sein soll, Mehrgeräte mit identischem Stand. Dann ist IMAP mit strengen Regeln sinnvoll. Aber zu beachten sind: Quota (Speicher-Limits), Auto-Archivierung auf separaten Speicher, definierte Löschfristen, E2E-Verschlüsselung bei sensiblen Inhalten.
Grundsätzlich sollten Sammel-E-Mail-Zugänge nicht genutzt und stattdessen über den Einsatz eines Ticket-Systems oder eines E-Mail-Verteiler an personalisierte Zugänge nachgedacht werden.