Não há uma resposta fácil. Este é um problema básico de criptografia.
SE você e seus clientes já compartilham uma senha comum, ou um par de chaves pública / privada, você pode criptografar e-mails usando isso para enviar outras senhas.
Se esse não for o caso, você deve procurar um meio seguro para trocar chaves. Uma conexão SSL quase faz o truque, exceto que você não pode autenticar o cliente (nem o cliente pode autenticá-lo) sem antes trocar um par de chaves pública / privada. Assim, você pode ignorar esse problema pequeno e configurar uma página da Web acessível por SSL, por exemplo, ou se for necessária uma boa segurança, uma troca pessoal ou por telefone será melhor.
Poxa, mesmo enviar a chave por fax para dividir a chave em várias páginas, uma página por vez, para que um interceptador não consiga obter a chave inteira, pode ser uma maneira aceitável.