Devo ignorar ou bloquear totalmente tentativas de comando não SMTP?

Eu uso o fail2ban. Você pode editar o arquivo /etc/fail2ban/filter.d/postfix.conf para detectar outras tentativas. Eu monitoro meus arquivos /var/log/mail.log para procurar por comportamento suspeito e adicionar ao postfix.conf conforme necessário. Aqui está o meu postfix.conf que pega a linha que você mencionou acima.

[INCLUDES]


before = common.conf

[Definition]

_daemon = postfix/smtpd

failregex = ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 554 5\.7\.1 .*$
        ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 450 4\.7\.1 : Helo       command rejected: Host not found; from=<> to=<> proto=ESMTP helo= *$
        ^%(__prefix_line)sNOQUEUE: reject: VRFY from \S+\[<HOST>\]: 550 5\.1\.1 .*$
        ^%(__prefix_line)sNOQUEUE: reject: RCPT from \S+\[<HOST>\]: 454 4\.7\.1 :*$
        reject: RCPT from (.*)\[<HOST>\]: 550 5.1.1
        reject: RCPT from (.*)\[<HOST>\]: 450 4.7.1
        reject: RCPT from (.*)\[<HOST>\]: 554 5.7.1
    reject: RCPT from unknown\[<HOST>\]: 454 4.7.1
    connect from unknown\[<HOST>\]

ignoreregex = 

você também pode adicionar

warning: non-SMTP command from unknown\[<HOST>\]:: GET / HTTP/1.0

se o acima não pegar tudo.

Se você deseja banir endereços IP históricos manualmente, use as tabelas de IP.

Atenciosamente e boa sorte,

Matt

Não há necessidade de bloquear "o comando". Se você achar que alguém está fazendo uma tonelada de comandos inválidos, bloqueie esse endereço IP. Um comando inválido não afetará nada e, em alguns casos, é prático (isto é, oferecer suporte a clientes problemáticos).