Bekaryのソースを読んだことがないのですが（←ダメな子認定）、
ここでいうメール認証と言うのは、ユーザ認証後に、登録されたメールアドレスの存在チェックのことでしょうか？
（かの有名な「けんすう」さんエントリみたいなヤツ？）
http://blog.ideami.jp/archives/63　

だとすれば
ユーザ登録及びメール認証時はauthコンポーネントはパスワードの保存だけで使ってもいいと思います
（逆に言うと、Bekaryのソースを流用するなら、パスワードの保存時と、ログイン・ログアウト処理をauthコンポーネントに変えれば良さそうな気がします）

ユーザ登録処理
前提：
メールの認証したかどうかをUserテーブルのverifiedで管理
メール認証に必要な情報をハッシュ化したものをUserテーブルのconfirmで管理

1.ユーザ登録（Userテーブルのverifiedを0にする）
　パスワードは、http://blog.ne2ma2.com/archives/161に書いてあるとおり自分で暗号化し保存、
　$this->Auth->password( パスワード );
　メール認証に必要な情報をハッシュ化したものをUserテーブルのconfirmに保存
2.ユーザにメールを送る
3.ユーザが送られたメールについているURLをクリック
（メール認証に必要な情報をハッシュ化したもの）
4.クリックされたURLからメール認証を完了（Userテーブルのverifiedを1にする）

ログイン処理
Userテーブルのverifiedが1のものだけ、ログインさせる
　Authコンポーネントの/ログインできるユーザの条件を
　データベースのフィールドの値で指定
$this->Auth->userScope = array(’User.verified’ => 1);

実際にはconfirmの有効期限とか、別途必要だと思いますが、こんな感じでどうでしょうか？

実際使うとなると最低限必要ですし、Bekaryのソースを流用しようと思ったのですが、Authコンポーネントを使ってないようなので、パスワードの暗号化のタイミングがわからなくて困っています。