メールのログや毎日root宛にシステムからメールで送られてくる情報からPOPに何度も何度もuser名を入れてくる輩(外国)があります。これは、はなからPOPを使う目的というよりDos攻撃のようにシステムダウンを引き起こすような攻撃です。
直ぐに、iptablesやdenyファイルを更新、3度以上認証が出来なかった場合には24時間使えなく(同じIP)をセットしました。何度も短い時間で認証をしている事は何かのソフトを使って攻撃しているようです。
サーバーには最低限、iptablesの設定(国内外)、SSHやFTPは私の場合には自宅内のLocal環境しか許可していません。外部から操作する場合でも、そのIPだけ許可をするようにした方が良さそうです。
Logは毎日送られて来る(root宛に)のはLogwatchというソフトをいれてあり、認証からメール、ウイルスソフトのデータ更新、ハードディスクの状況まですべてのサービス情報が分かりやすく書かれているので朝確認するのには非常に便利です。
最初にセキュリティは出来るところまでやっていて良かったと思っています。