Lidando com o ataque de comando inválido do SMTP

Um de nossos servidores de correio semi-ocupado (sendmail) teve várias conexões de entrada nos últimos dias de hosts que emitem comandos de lixo.

Nos últimos dois dias:

• conexões SMTP recebidas com comandos inválidos de 39.000 IPs exclusivos
• os IPs vêm de várias faixas em todo o mundo, não apenas de algumas redes que eu posso bloquear
• o servidor de correio atende a usuários em toda a América do Norte, então não posso simplesmente bloquear conexões de IPs desconhecidos
• exemplos de comandos inválidos : http://pastebin.com/4QUsaTXT

Não tenho certeza do que alguém está tentando realizar com esse ataque, além de me irritar.

alguma idéia do que se trata, ou como lidar efetivamente com isso?

Aqui está pelo menos uma opção para encerrar essas conexões depois que elas começarem a cuspir erros. Clientes válidos e bem-comportados nunca devem cair nesse tarpit.

dnl # New option in v8.14.0
dnl # Override default limit (of 20) NOOPs (invalid or unsupported SMTP
dnl #   commands) before daemon will throttle connection by slowing
dnl #   error message replies (similar to "confBAD_RCPT_THROTTLE")
define(`MaxNOOPCommands', `5')dnl

Você também pode usar o recurso GreetPause, que rejeitará esses clientes porque é improvável que respeitem a pausa. Você pode ler mais sobre isso aqui: http://www.deer-run.com/~hal/sysadmin/greet_pause.html

dnl # New feature in v8.13.1 (not listed in Companion)
dnl # Set time in milliseconds before sendmail will present its banner
dnl #   to a remote host (spammers won't wait and will already be
dnl #   transmitting before pause expires, and sendmail will
dnl #   refuse based on pre-greeting traffic) 5000=5 seconds
dnl # NOTE: Requires use of FEATURE(`access_db') and "GreetPause" entries
dnl #       in access table
FEATURE(`greet_pause',`5000')dnl

Gostaria de instalar fail2ban e bloquear no primeiro comando inválido.