Собственно говоря в папке action.d уже был файл complain.conf который нужно было только подправить. Получился вот такой вот новый файл, который называем complain-asterisk.conf. Меняем переменную sender (последняя строчка) на тот мэйл от которого вы хотите отправлять это письмо. Добавляем в файл jail.conf в раздел который контролирует лог астериска в action = complain-conf, перегружаем fail2ban и смотрим как реагируют провайдеры которые начнут получать ваши письма. Рекомендую, для начала, потестировать на себе, заменить $ADDRESSES на свой mail.
[Definition]
actionban = ADDRESSES=`whois <ip> | perl -e 'while (<STDIN>) { next if /^changed|@(ripe|apnic)\.net/io; $m += (/abuse|trouble:|report|spam|security/io?3:0); if (/([a-z0-9_\-\.+]+@[a-z0-9\-]+(\.[[a-z0-9\-]+)+)/io) { while (s/([a-z0-9_\-\.+]+@[a-z0-9\-]+(\.[[a-z0-9\-]+)+)//io) { if ($m) { $a{lc($1)}=$m } else { $b{lc($1)}=$m } } $m=0 } else { $m && --$m } } if (%%a) {print join(",",keys(%%a))} else {print join(",",keys(%%b))}'`
IP=<ip>
if [ ! -z "$ADDRESSES" ]; then
(printf %%b "<message>\n"; date '+Note: Local timezone is %%z (%%Z)'; grep '<ip>' <logpath>) | <mailcmd> "Abuse from <ip>" -r <sender> $ADDRESSES <sender>
fi
[Init]
message = Dear Sir/Madam,\n\nWe have detected abuse DoS atack (UDP SIP, port 5060) from the IP address $IP to our server XXX.XXX.XXX.XXX, which according to a whois lookup is on your network. We would appreciate if you would investigate and take action as appropriate.\n(If you are not the correct person to contact about this please accept our apologies - your e-mail address ($ADDRESSES) was extracted from the whois record by an automated process.)\n\nThanks & Best Regard\n\nLog lines are given below, but please ask i you require any further information.
logpath = /var/log/asterisk/messages
mailcmd = mail -s
sender = YourOrganization<aaa@bbb.tld>
ответил
2012-05-23 01:31:17 +0400
alphil 520 ● 11 ● 5 ● 16
http://www.damal.es/