Ich frage mich gerade, warum das Programm fail2ban heisst, wenn es Deinen Ausführungen nach saubere Abrufe blockt.

Naja, anscheinend ist die Anzahl der Aufrufe ein Zeichen für das Programm, dass es keine sauberen Aufrufe sind. Es sind ja durch Thunderbird praktisch 7 gleichzeitige Zugriffe.

Was steht denn im Logfile?

Im syslog sowas wie:

Nov  1 10:13:46 xxx imapd-ssl: LOGIN, user=xxx@example.com, ip=[::ffff:00.00.00.00], port=[34079], protocol=IMAP

Also ein erfolgreiches Login

Kann ja sein, da ist clientseitig was falsch konfiguriert. (Vergessener Mailbenachrichtiger?)

Am Client liegts nicht, das Log zeigt einen normalen Login per STARTTLS. Ich gehe davon aus, dass ich fail2ban erklären muss, dass erfolgreiche Logins nicht zur Sperre führen sollen.