ジャストアイディアなんでちゃんとした回答が来たらあっさり取り下げるかもしれませんが

• どうしたって復号可能な形で持たざるを得ません
• そこで、IMAPパスワードをユーザーごとに別々のキーで暗号化します
• そのユーザーごとのキーというのは、ユーザーのログインパスワードに何らかのハッシュ関数をかけたものにします

ユーザー本人にしか生成できないキーになります

• ユーザーがログイン成功した際にIMAPパスワード復号用のキーもハッシュ関数により作成して、セッションにだけ保存するという形にします。ソースとDBが漏洩してもIMAPパスワードは復号できません。
• 問題はユーザーがログインパスワードを忘れてパスワード再設定をしたときです。IMAPパスワードは誰にも復号できなくなります。

そのときはそのときで仕方ないんで、IMAPつなぐときにIMAPパスワードを再入力してもらえば良いのではないかなと。

過去にした質問が参考になりそうなのでリンクしておきます。
暗号化すべき情報とは？

非常に興味深い回答を頂いています。

ソースとDBが流出したらユーザのアカウント情報が解析されてしまいますよね。

これを前提としたら何やったって無駄なので、「IMAPサーバに繋ぐときにどうしてもユーザのメールアドレスとパスワードが必要になりますがDBに生で保存しない」ここは暗号化しようが平文で保存しようが関係ないことになります。

「ソースとDBが流出し」ないようにアプリケーションを作成することです。

可逆圧縮、非可逆圧縮をご存知でしょうか？”暗号化”ではなく”圧縮”です。

可逆圧縮の例：zipやlzh←元に戻せる
非可逆圧縮：BMP→png、音などをmp3にしたり。←元に戻せない

似たように可逆暗号化、非可逆暗号化と言うのもあります。

可逆暗号化の場合はkey(アルゴリズム)さえ分かれば復号できますが、非可逆暗号化は暗号化されたワードに対して復号することはできません。

会員登録時に非可逆暗号化アルゴリズムを通したユーザーパスワードをDBに保存しておき、ログイン時に送信されたユーザーパスワードを同一の非可逆暗号化アルゴリズムを行い、DBに保存しておいた非可逆済みパスワードと比較し真偽を確かめる方法もあります。

すべてを非可逆暗号化だと都合が悪いのでメールなどは可逆暗号化(もしくは暗号化しない)、パスワードは非可逆暗号化などをする手法もあります。

IMAPのどこにRDBが介在するという想定なのかわかりませんが
RDBの情報を元にメールサーバーにアクセスするのが必須であれば
生テキストで保持するしか無いので、DBが流出なんてしたら
すべての情報がだだ漏れですね
そもそもRDBに保持する意味はないので適宜ユーザーが管理すれば
いいだけでは？