Я решаю эту проблему, добавив другое правило в syslog / rsyslog для передачи сообщений mail. * В fifo в / etc / mail / mailban / syslog_fifo
Затем я создал демон, чтобы читать syslog_fifo, анализировать сообщения sendmail и действовать на основании найденного. История каждого IP-адреса и активности отслеживается через таблицу MySQL с 1,5 миллионами (!) Строк. Оскорбительные ip-адреса добавляются в цепочку запретов в iptables на различные периоды / порты в зависимости от различных критериев, и жизнь продолжается сладко ...
Простая задача cron выполняется каждый час и освобождает старые IP-адреса и соответственно обновляет статус в базе данных.
Теперь я заставил программное обеспечение автоматически скомпилировать и очистить записи журнала, найти адрес ответственного за злоупотребление для ip, а затем отправить отчет, информирующий интернет-провайдера о необщительном поведении. Это работает примерно в 5% случаев, и помогает немного очистить сеть.
Это также требует черный список провайдеров-провайдеров, которые не принимают или игнорируют жалобы такого типа, и это развивается со временем.
Я также использую другое подобное решение для атак ssh, pop3, httpd.
Я не знаю ни одного другого программного обеспечения, которое делает это, но я мог бы помочь вам разработать решение, хотя я больше всего знаком с RedHat / Fedora.