Usando o Dovecot versão 2.1.7, consegui que os certificados de cliente funcionassem com pouco esforço e, neste ponto, posso escolher entre ter autenticação por senha após a verificação do certificado ou tornar os certificados obrigatórios e ignorar completamente as senhas. O que eu gostaria de fazer é manter a autenticação de certificado opcional e desabilitar senhassomente seo usuário emprega um certificado.
A ideia seria que os usuários com dispositivos móveis pudessem receber chaves/certificados específicos do dispositivo que pudessem ser revogados em caso de roubo, sem afetar a capacidade de login de outros clientes do usuário.
O que estou tentando fazer parece impossível pela minha leitura da documentação, mas talvez alguém aqui tenha conseguido.