Документация ввела вас в заблуждение.
Еще раз повторяю: знания довекотовского cram-md5 хеша достаточно для успешной авторизации по механизму cram-md5, и польза такого хеширования ограничена лишь:
- меньше вычислений при каждом логине
- знание такого хеша не позволит авторизоваться по некоторым другим механизмам (digest-md5, например), что верно подмечено в документации В этом заключается минус таких механизмов, как cram-md5 и digest-md5 по сравнению с передачей пароля открытым текстом. В последнем случае пароль тоже хранится в хешированном виде, и знания этого хеша уже не будет достаточно для аутентификации, вычислять пароль брутфорсом.
Посмотрите хотя бы вот этот тред
http://www.dovecot.org/list/dovecot/2008-April/029986.html
Ну и стандарты почитать тоже можно.