Dê uma olhada na seção "SEÇÃO: Bloqueio e alertas de falha de login" e defina as configurações desejadas.
Mais específico, LF_POP3D e LF_IMAPD para a quantidade de tentativas antes de bloquear o endereço IP.
Além disso, você precisa verificar se os caminhos de log estão definidos corretamente.
Volte para a configuração e veja se essas configurações estão corretas:
POP3D_LOG =
IMAPD_LOG =
Para mim, ambos são /var/log/mail.log , mas verifique seu sistema.
No arquivo csf/regex.pm , você pode ver quais tentativas estão sendo filtradas.