<div dir="ltr">I don't see a need for anything quite this complicated.  With app-layer.protocols.smtp.mime.extract-urls set to yes URLs will be parsed from smtp traffic and written to the eve-log JSON logger.<br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><p>"Let everyone else call your idea crazy. Just keep going."</p>  <p>Phil Knight</p>  </div></div></div></div>
<br><div class="gmail_quote">On Sun, Jul 17, 2016 at 8:21 AM, Cooper F. Nelson <span dir="ltr"><<a href="mailto:cnelson@ucsd.edu" target="_blank">cnelson@ucsd.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">As a quick hack you could do the following:<br>
<br>
1.  Write a suricata rule to trigger on urls in SMTP traffic.  Just<br>
looking for 'http://' should suffice.<br>
<br>
2.  Enable unified2 logging, extract the raw pcaps with u2boat and then<br>
use a tool like ngrep to extract the urls from packets to port 25.<br>
<br>
The latest release supports Lua scripting for SMTP, so you could<br>
probably write a Lua script to extract URLs and write them to a log<br>
file, but I haven't actually done anything that advanced yet.<br>
<br>
-Coop<br>
<div class="HOEnZb"><div class="h5"><br>
On 7/14/2016 1:52 PM, Stephen Castellarin wrote:<br>
> Is it possible for Suricata to extract any urls found in the body of an email?<br>
><br>
<br>
<br>
</div></div><span class="HOEnZb"><font color="#888888">--<br>
Cooper Nelson<br>
Network Security Analyst<br>
UCSD ITS Security Team<br>
<a href="mailto:cnelson@ucsd.edu">cnelson@ucsd.edu</a> x41042<br>
<br>
</font></span></blockquote></div><br></div>