Por padrão, o Daemon de Falha de Login (LFD) bloqueará um IP temporariamente apenas tantas vezes para tentar forçar um serviço antes de bloquear permanentemente esse IP. Presumivelmente, nesse ponto, você não verá mais e-mails de notificação para bloqueios temporários. As configurações relacionadas estão em csf.conf. Procure por "LF_PERMBLOCK". Além disso, a ideia de FIFO está correta. O CSF bloqueará até um número máximo de IPs, conforme determinado pelas diretivas de configuração DENY_IP_LIMIT e DENY_TEMP_IP_LIMIT, no ponto em que o IP mais antigo (primeiro) bloqueado será desbloqueado em favor do mais novo ofensor.
Eu acredito que um reinício do CSF irá limpar as listas de bloqueio do LFD.
Eu recomendo ler os scripts de configuração e revisar seus logs para verificar se é isso que está acontecendo.