1) Tienes razón. Activar IMAP no es necesario en este caso, ya que solamente estás enviando y no recibiendo emails. No obstante, tendrás que desactivar alguna configuración de seguridad en tu cuenta de Gmail, como 2FA, en caso de que lo tengas habilitado, y alguna cosa más. Aquí está detallado lo que tienes que cambiar: https://netcorecloud.com/tutorials/s...ver-using-php/

2) No existe ningún problema con incrustar tus credenciales de acceso si estás trabajando con tu propio servidor. Si estás en un hosting compartido, no me fiaría tanto.

3) Te propongo una alternativa mucho más fácil. Crear un formulario mediante Jotform, que tiene notificaciones por email.