<div dir="ltr">Hi,<div><br></div><div>With the new pull request adding STMP carving (#1195), ive been testing this abit. But, i cant seem to be able to carve any files. Im betting the issue is my rule writing skills. Any one have any tips?</div><div><br></div><div><div>alert smtp any any -> any any (msg:"TOTAL CAPTURE!"; filestore; sid:1; rev:1;)</div></div><div><br></div><div>/Andreas</div></div>