Usando o Dovecot versão 2.1.7, obtive certificados de cliente trabalhando com pouco esforço, e neste momento posso escolher entre ter autenticação de senha após a verificação do certificado ou tornar os certificados obrigatórios e ignorar totalmente as senhas. O que eu gostaria de fazer é reter a autenticação de certificado opcional e desativar as senhas somente se o usuário empregar um certificado.
A ideia é que os usuários com dispositivos móveis possam receber chaves / certificados específicos do dispositivo que possam ser revogados em caso de roubo sem afetar a capacidade de outros clientes do usuário efetuarem login.
O que eu estou tentando fazer parece impossível na minha leitura da documentação, mas talvez alguém tenha conseguido isso aqui.