fail2ban でPOPへのアタックを監視しています。
ただ、postfixadmin を併用していると、デフォルトのフィルター設定が対応していません。
こんな感じのログを捕まえたいと思います。
〜 dovecot: auth: sql(メールアドレス,IPアドレス): unknown user
下記の設定でいい感じに拾えました。
filter.d/dovecot.conf
#failregex = (デフォルトの正規表現)
failregex = ^%(__prefix_line)sdovecot: auth: sql\(\S+,