Um ein Google-Workspace-Gmail-Postfach per IMAP mit einem Migrationstool, einem aelteren Mail-Client oder einer Software zu verbinden, die die Google-Authentifizierung nicht korrekt unterstuetzt, wird haeufig ein App-Passwort benoetigt. Dieses Passwort ist nur verfuegbar, wenn die Bestaetigung in zwei Schritten fuer das Konto aktiviert ist.
Wichtig
Ein Google-Workspace-Administrator kann kein App-Passwort im Namen eines Nutzers erstellen. Er kann Sicherheitsrichtlinien steuern, den Status der Bestaetigung in zwei Schritten pruefen, IMAP erlauben oder blockieren und bestehende App-Passwoerter widerrufen. Der Code muss aber aus dem betroffenen Nutzerkonto heraus erstellt werden.
Was ist ein Google-App-Passwort?
Ein App-Passwort ist ein von Google generierter Code, der einer bestimmten Anwendung Zugriff auf das Konto erlaubt. Es ersetzt das normale Kontopasswort in Programmen, die nur nach Benutzername und Passwort fragen, zum Beispiel per IMAP oder SMTP.
Fuer moderne Anwendungen ist dies nicht die bevorzugte Methode: Wenn moeglich, sollte die Google-Anmeldung mit OAuth verwendet werden. App-Passwoerter bleiben jedoch fuer bestimmte Migrationstools, IMAP-Skripte, Scanner, Multifunktionsgeraete und aeltere Mail-Clients nuetzlich.
Voraussetzungen vor dem Start
- Die Bestaetigung in zwei Schritten muss aktiviert sein fuer das Google-Workspace-Konto.
- Der IMAP-Zugriff muss erlaubt sein durch den Google-Workspace-Administrator und bei Bedarf in Gmail aktiviert werden.
- Das Konto darf nicht dem erweiterten Sicherheitsprogramm unterliegen und darf nicht auf eine Bestaetigung in zwei Schritten nur per Sicherheitsschluessel beschraenkt sein.
Wenn das Menue "App-Passwoerter" nicht erscheint
Die haeufigsten Ursachen sind: Die Bestaetigung in zwei Schritten ist noch nicht aktiviert, die Organisation blockiert diese Option, das Konto nutzt das erweiterte Sicherheitsprogramm oder die erlaubte 2FA-Methode ist zu restriktiv.
Schritt 1: Bestaetigung in zwei Schritten aktivieren
Aus dem betroffenen Nutzerkonto heraus:
- Oeffnen Sie myaccount.google.com/security
- Melden Sie sich mit der betroffenen Google-Workspace-Adresse an
- Klicken Sie im Bereich So melden Sie sich in Google an auf Bestaetigung in zwei Schritten
- Folgen Sie dem Assistenten, um eine Verifizierungsmethode einzurichten: Google Authenticator, Google-Aufforderung, SMS oder eine andere von der Organisation erlaubte Methode
- Schliessen Sie die Einrichtung ab und pruefen Sie, dass die Bestaetigung in zwei Schritten als aktiv angezeigt wird
Wenn die Organisation die Bestaetigung in zwei Schritten bereits erzwingt, kann dieser Schritt schon erledigt sein. In diesem Fall gehen Sie direkt zur Erstellung des App-Passworts.
Schritt 2: App-Passwort erstellen
App-Passwoerter direkt oeffnen
Oeffnen Sie myaccount.google.com/apppasswords mit dem betroffenen Google-Workspace-Konto.
Bei Bedarf den manuellen Weg nutzen
Wenn der direkte Link nicht funktioniert, oeffnen Sie myaccount.google.com/security und klicken Sie unter So melden Sie sich in Google an auf App-Passwoerter. Google kann das Kontopasswort erneut abfragen.
Zugriff benennen
Vergeben Sie einen klaren Namen, zum Beispiel IMAP-Migration, Thunderbird, Outlook oder Imapsync.
Code generieren und kopieren
Klicken Sie auf Erstellen oder Generieren und kopieren Sie anschliessend das von Google angezeigte Passwort. Es handelt sich in der Regel um einen 16-stelligen Code.
Tipp
Kopieren Sie das Passwort sofort in Ihr Tool oder Ihren Passwortmanager. Google zeigt es danach nicht erneut an. Wenn Sie es verlieren, widerrufen Sie den alten Zugriff und erstellen ein neues App-Passwort.
Gmail-IMAP- und SMTP-Einstellungen
Verwenden Sie im Mail-Client oder Migrationstool die vollstaendige E-Mail-Adresse als Benutzernamen und das App-Passwort als Passwort.
| Einstellung | Wert |
|---|---|
| IMAP-Server | imap.gmail.com |
| IMAP-Port | 993 |
| IMAP-Sicherheit | SSL/TLS |
| SMTP-Server | smtp.gmail.com |
| SMTP-Port | 465 mit SSL/TLS oder 587 mit STARTTLS |
| Benutzername | Vollstaendige E-Mail-Adresse |
| Passwort | Von Google generiertes App-Passwort |
IMAP in Gmail aktivieren
Je nach Domainkonfiguration muss der Nutzer IMAP auch in Gmail aktivieren:
- Oeffnen Sie Gmail mit dem betroffenen Konto
- Klicken Sie auf das Symbol Einstellungen, dann auf Alle Einstellungen aufrufen
- Gehen Sie zum Tab Weiterleitung und POP/IMAP
- Waehlen Sie im Bereich IMAP-Zugriff die Option IMAP aktivieren
- Klicken Sie auf Aenderungen speichern
Wenn die Option ausgegraut ist oder fehlt, wird der IMAP-Zugriff wahrscheinlich durch eine Administratorregel blockiert.
Was der Google-Workspace-Administrator tun kann
IMAP-Zugriff erlauben oder blockieren
In der Google Admin-Konsole kann der Administrator den POP/IMAP-Zugriff fuer die Organisation oder fuer bestimmte Organisationseinheiten verwalten. Der Pfad kann sich aendern, befindet sich aber meist unter:
Google Admin-Konsole → Apps → Google Workspace → Gmail → Endnutzerzugriff → POP- und IMAP-Zugriff
Bestaetigung in zwei Schritten verwalten
Der Administrator kann die Bestaetigung in zwei Schritten erzwingen, erlaubte Methoden festlegen und pruefen, ob ein Nutzer sie aktiviert hat. Die abschliessende Aktivierung bleibt jedoch an das Nutzerkonto gebunden, weil dafuer eine persoenliche Zweitfaktor-Methode erforderlich ist.
App-Passwoerter anzeigen und widerrufen
Aus Sicherheitsgruenden kann der Administrator sehen, welche App-Passwoerter fuer ein Konto erstellt wurden, und sie widerrufen, wenn ein Geraet verloren wurde, eine Migration abgeschlossen ist oder ein Zugriff verdaechtig wirkt. Er kann das Passwort nicht im Klartext abrufen und auch kein nutzbares Passwort im Namen des Nutzers erstellen.
| Aktion | Nutzer | Administrator |
|---|---|---|
| Eigene Bestaetigung in zwei Schritten aktivieren | Ja | Kann sie erzwingen oder den Status pruefen |
| App-Passwort erstellen | Ja | Nein, nicht im Namen des Nutzers |
| IMAP fuer die Organisation erlauben oder blockieren | Nein | Ja |
| App-Passwort widerrufen | Ja, fuer das eigene Konto | Ja, ueber die Sicherheitseinstellungen des Nutzers |
Bewaehrte Sicherheitspraktiken
- Ein Passwort pro Einsatzzweck erstellen - Eines fuer die Migration, eines fuer Thunderbird, eines fuer ein bestimmtes Geraet.
- Jeden Zugriff klar benennen - Das erleichtert Audits und Widerrufe.
- Nach der Nutzung widerrufen - Loeschen Sie das App-Passwort, sobald eine IMAP-Migration abgeschlossen ist.
- Den Code nie per E-Mail teilen - Verwenden Sie einen Passwortmanager oder einen sicheren Kanal.
- Google-Sicherheitswarnungen beobachten - Eine ungewoehnliche IMAP-Verbindung kann Sicherheitsbenachrichtigungen ausloesen.
Schnelle Fehlerbehebung
Das Passwort wird abgelehnt
Die Software zeigt "falsches Passwort" an oder verweigert die IMAP-Verbindung.
Loesung
Pruefen Sie, dass Sie wirklich das App-Passwort verwenden, ohne zusaetzliche Leerzeichen, und dass der Benutzername die vollstaendige E-Mail-Adresse ist.
Das Menue ist nicht vorhanden
Im Google-Konto wird "App-Passwoerter" nicht angezeigt.
Loesung
Aktivieren Sie zuerst die Bestaetigung in zwei Schritten. Wenn sie bereits aktiv ist, lassen Sie den Administrator die Sicherheitsregeln der Domain und den IMAP-Zugriff pruefen.
Fazit
Um ein Google-Workspace-Gmail-Postfach per IMAP mit einem klassischen Passwortablauf zu nutzen, lautet die Reihenfolge: Bestaetigung in zwei Schritten aktivieren, dann ein App-Passwort aus dem Nutzerkonto heraus erstellen. Der Administrator kann die Umgebung vorbereiten und Zugriffe widerrufen, aber diese Passwoerter nicht gesammelt fuer alle Konten erstellen.
Bei einer E-Mail-Migration sollte dieser Schritt mit jedem betroffenen Nutzer im Voraus eingeplant werden. So vermeiden Sie Blockaden in letzter Minute, wenn das IMAP-Tool verbunden werden soll.
Sind Sie bereit, zu Infomaniak zu migrieren?
Kontaktieren Sie uns für ein kostenloses 15-minütiges Audit. Wir analysieren Ihre Situation und erstellen Ihnen ein individuelles Angebot.
Fordern Sie ein kostenloses Audit an