有冇師兄用 fail2ban 再夾其他 LOG 自制 filter去 catch openwebmail 的 fail login ?

小弟用緊fail2ban在 CentOS能成功用 default filter block倒 SSH同 Dovecot , 但用緊 openwebmail , 因冇 default filter可用, 唯有自制custom , 但比D Python regular expression攪到頭爆, 下面有1段可 catch 倒的 dovecot log , 及1段 openwebmail 的 sample log output, 有冇師兄幫幫小弟睇睇用Python regular expression 可 catch 倒 openwebmail log 內 有- login error - auth_unix.pl, ret -4, Password incorrect 呢向 statement, 而 Host 的 IP , 可以 <host> 代替. 萬分感謝!!

Dovecot Sample Log Output
Jun  1 23:32:29 mail dovecot-auth: pam_unix(dovecot:auth): authentication failure; logname= uid=0 euid=0 tty=dovecot ruser= rhost=::ffff: 123.45.67.890  user=a2940u2w

Python regular expression
failregex = pam.*dovecot.*(?:authentication failure).*rhost=(?:::f{4,6}:)?(?P<host>\S*)

Openwebmail Sample Log Output
Mon Jun  1 22:29:58 2009 - [2468] (123.45.67.890) a294u2w - login error - auth_unix.pl, ret -4, Password incorrect