O fail2ban seria melhor que o BFD, pois é executado continuamente? De qualquer maneira, você provavelmente está, pelo menos, reduzindo os riscos de comprometimento de senhas fracas.
Talvez verifique alguns dos endereços IP ofensivos em uma lista de várias RBLs, como o link , e veja se algo como o Projeto Honeypot os pegaria. É claro que a verificação RBL precisa vir antes da autenticação SASL.