wie gesagt, dann passt der Titel nicht vorrangig.
Soweit ich sehe, hat mailbox.org in den letzten Wochen die Software OX-Exchange endlich auf die aktuelle Version 7.10.6 gehievt. Und sie sind dabei, die 2FA einzubinden. Auf welche Weise ist mir grad unklar; was geht, kann man in der Dokumentation schon mal nachlesen. Weiteres sollte vielleicht dort bei mailbox.org diskutiert werden. Das gilt auch für Feature Request wie von dir Eingangs formuliert: „individuelles Abschalten von IMAP/SMTP und nur Web“
Mailbox.org beschreibt das hier: https://kb.mailbox.org/de/privat/sicherheit-privatsphaere-artikel/die-zwei-faktor-authentifizierung-einrichten und am Ende dort sind Einschränkungen u.ä. beschrieben
Onetime-Passwort z.B. erhöht den Aufwand und schränkt ein paar Dinge ein (gleichzeitiges Öffen im Webbrowser, keine Clients, Hintergrund-Mailabholen mehr usw. (Hier würden Anwendungspassworte helfen, die die Software seit Version 7.10.4 kann; soweit ich weiß, ist mailbox.org dabei, dass einzubauen/aktivieren; im zuvor genannten Link dazu ist auch auf die Komplexität hingewiesen)
2FA benötigt andere Instanzen, die widerrum angreifbar sind.
Was sicherlich fehlt bei mailbox.org ist die Listung der letzten Logins, was aber dem ursprünglichen Privacy widerspricht, dem individuellen User aber helfen würden. (Dieser Widerspruch ist spannendes Thema für eigenen Thread 
Technisches zu OX-Echange kurz geschaut:
Software-Details für Multifactor Authentication sind beschrieben, auch die Nachteile, dass nämlich die Clients das Problem sind, da diese das Verfahren nicht können: "
Wenn ein Benutzer die Multifaktor-Authentifizierung für sein Konto aktiviert, sind seine Anmeldungen auf die Appsuite-Benutzeroberfläche beschränkt, da die Client-Anwendungen (Mail-App, Drive-App, Exchange Active Sync) derzeit nicht über die Schnittstelle zur Durchführung der zusätzlichen Multifaktor-Anforderungen verfügen.
Damit ist dann wohl auch IMAP deaktiviert.
Seit 7.10.4 sind für IMAP-Monitoring Verbesserungen eingeführt
Ansonsten: MS macht da grad was und wirbt um geile Lösungen ala MS365. mailbox.org und andere gucken sich das an und überlegen genau, wie sie da was einbauen. Letztere bevorzuge ich, weil ich auch weiß, dass man an einem laufenden System nicht einfach dann rumfummelt und nachbessert (das, was MS nämlich macht). Es dauert also länger, schafft aber echte Sicherheit auf beiden Seiten. Feature Request sind sicherlich gerne gesehen bei mailbox.org u.a., denn dadurch werden Signale des Bedarfs gemeldet. Und je mehr Signale, desto eher sicherlich auch mehr Budget