Здравствуйте. Отличный анализ. Вы абсолютно правы в своих предположениях насчет компрометации AirOS-устройств в ботнет.
Коллеги выше тоже правы по сути: основной инструмент для автоматической защиты от таких атак — это fail2ban.
Однако, просто сказать "используй fail2ban" — это половина дела. Вся сложность в деталях: в правильной настройке "джейлов" (jails) для почтовых сервисов (Postfix, Dovecot, Exim), в грамотных действиях по блокировке и в дополнительных мерах защиты.
Специально для таких случаев я держу под рукой подробное руководство по развертыванию комплексной защиты от брутфорса на сервере. В нем я по шагам расписал:
Как правильно установить и настроить fail2ban.
Как создать кастомный jail.local для защиты именно почтовых сервисов (SMTP/IMAP) от подбора паролей.
Какие actions для блокировки лучше использовать.
Какие дополнительные шаги по укреплению SSH и самого почтового сервера стоит предпринять.
Думаю, это будет именно тот развернутый ответ, который вам нужен.
Полное руководство по настройке защиты здесь:
https://gist.github.com/Tazoranov/4fc70fc0f81a34d3... 
