Разобрался ...
Правильный regexp тот, который работает
- то-есть важна сцепка - regexp-формат лога
Я анализировал логи dovecot – похоже fail2ban их не понимает.
После этого натравил на системный лог – и всё запахало - “Рабочий” конфиг такой:
#/var/log/auth.log
Dec 9 16:30:50 mail dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser=admin rhost=x.x.x.x
#/etc/fail2ban/filter.d/dovecot.conf
[Definition]
failregex = pam.*dovecot.*(?:authentication failure).*rhost=(?:::f{4,6}:)?(?P<host>\S*)
ignoreregex =
#/etc/fail2ban/jail.conf
[dovecot]
enabled = true
filter = dovecot
action = iptables-multiport[name=dovecot, port="pop3,imap", protocol=tcp]
logpath = /var/log/auth.log
maxretry = 20
findtime = 1200
bantime = 1200
Работает на Ubuntu 10.04.01 LTS
Блокирует после 5 сек брутефорса