Realmente, você quer escolher o protocolo de autenticação adequado que é suportado pelo PAM, os serviços que você deseja proteger e o maior número de servidores de autenticação de dois fatores.
Raio é a resposta.
Todos os principais sistemas de autenticação de dois fatores suportam raio. O Radius é suportado no PAM através do plug-in pam-radius. O Radius também permitirá que você faça proxy das solicitações por meio do freeradius (ou NPS no AD), que pode, então, executar a autorização no seu diretório. (Significa que você tem um local para desativar usuários.)
Temos vários tutoriais que devem ajudar: alguns em pam-raio: & link
E este em adicionar autenticação de dois fatores ao webmail que abrange sasl etc. link
Os clientes de email serão solicitados por um OTP cada vez que eles forem iniciados ou para cada sessão.
Pam-tacacs e pam-ldap seriam outras opções, mas mais difíceis e menos flexíveis, IMO.