Eu resolvo isso adicionando outra regra no syslog / rsyslog para enviar mensagens. * mensagens para um fifo em / etc / mail / mailban / syslog_fifo
Eu então fiz um daemon para ler o syslog_fifo, analisar as mensagens do sendmail e agir sobre o que é encontrado. O histórico de cada endereço IP e atividade é rastreado através de uma tabela de 1,5 milhões (!) Mysql. Endereços IP ofensivos são adicionados a uma cadeia de banimento no iptables para várias durações / portas, dependendo de vários critérios, e a vida continua docemente ...
Uma tarefa Cron simples é executada a cada hora e libera endereços IP antigos e atualiza o status no banco de dados de acordo.
Agora eu fiz o software automaticamente compilar e limpar os registros de log, encontrar o endereço de abuso responsável para o ip e, em seguida, envia um relatório informando o ISP do comportamento anti-social. Funciona em cerca de 5% dos casos e ajuda um pouco a limpar a rede.
Isso também requer uma lista negra de ISPs delinquentes que não aceitam ou ignoram esse tipo de reclamação, e isso evolui com o tempo.
Eu também uso outra solução semelhante para ataques ssh, pop3, httpd.
Eu não sei de nenhum outro software que faz isso, mas eu poderia ajudá-lo a desenvolver uma solução, embora eu esteja mais familiarizado com o RedHat / Fedora.