попробованный для спама постфикса, не регистрирует IP-адрес
fail2ban довольно гибок, он может реагировать на любые выражения в любых файлах журнала: в /etc/fail2ban/jail.conf Вы указываете, где посмотреть (logpath), что искать (filter) и что сделать (action).
В Вашем случае Вы могли попробовать существующий фильтр /etc/fail2ban/filter.d/courierlogin.conf (проверьте регулярное выражение, возможно, необходимо будет изменить его), и существующее действие от /etc/fail2ban/action.d/ (см. примеры в /etc/fail2ban/jail.conf). Например, если Вы используете shorewall:
[pop3]
enabled = true
filter = courierlogin
action = shorewall
logpath = /var/log/mail.log
Я всегда добавляю известного хорошего дюйм/с к ignoreip, таким образом, эти адреса не становятся запрещенными:
[DEFAULT]
ignoreip = 127.0.0.1 192.168.0.0/24 SOME.EXTERNAL.IPS
Это отправка локальной почты, о чем свидетельствует часть сообщения журнала "sendmail". В отличие от входящего сетевого соединения (которое будет содержать "smtpd" в качестве подсистемы регистрации), postfix не может надежно определить, какой IP инициировал запрос.
Обоснованное предположение будет заключаться в том, что используется рассматриваемый сервер. для размещения веб-приложений, и один из них содержит сценарий, уязвимый для рассылки спама. В этом случае определите, какой виртуальный хост работает как пользовательское «имя пользователя» с UID 12345, и сопоставьте его журналы доступа с журналами Postfix. Это покажет вам, какой IP инициировал злонамеренный запрос.
Настоящее исправление в этом случае будет заключаться в исправлении сценария, который, конечно же, может быть использован для рассылки спама.