<div dir="ltr">Hello,<div><br></div><div>For your rule, please try the following:</div><div><br></div><div><div style="color:rgb(0,0,0);font-family:Arial;font-size:13.3333px">alert smtp $HOME_NET any -> $EXTERNAL_NET any (msg:"*** WARNING!!! WARNING!!! SUSPECT SPAMMER!!! ***"; flow:to_server,established; content:"Subject|3a 20|"; nocase; content:"sexiest"; nocase; within:200; fast_pattern; sid:<a href="tel:(667)%20766-6667" value="+16677666667" target="_blank">6677666667</a>; rev:1;)</div></div><div><br></div><div>If this does not work, I would be happy to take a look at a packet capture and help further.</div><div><br></div><div>Thanks,</div><div><br></div><div>Jason</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 13, 2017 at 7:10 PM, Mesra.net CEO <span dir="ltr"><<a href="mailto:admin@mesra.my" target="_blank">admin@mesra.my</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dear Sir,<br>
<br>
Let me explain about the rule, actually i try to detect if any of my client email been defaced and spammer will send out thousand of email out from my network to anybody email, i try with the rules and trying to send out with message and subject 'sexiest' but on fast.log doesnt show up anything related to the rule<br>
<br>
Please help. TQ so much<br>
<br>
<br>
-----Original Message----- From: rmkml<br>
Sent: Friday, July 14, 2017 7:44 AM<br>
To: Mesra.net CEO<br>
Cc: <a href="mailto:oisf-users@lists.openinfosecfoundation.org" target="_blank">oisf-users@lists.openinfosecfo<wbr>undation.org</a> ; <a href="mailto:rmkml@ligfy.org" target="_blank">rmkml@ligfy.org</a><br>
Subject: Re: [Oisf-users] Problem to Start Suricata<div><div class="h5"><br>
<br>
Hi Mesra,<br>
<br>
yes you have switched dest_ip (any) and dest_port ([25,587,465]), please<br>
try this (not tested):<br>
<br>
 alert tcp $HOME_NET any -> any [25,587,465] (msg:"*** WARNING!!!<br>
WARNING!!! SUSPECT SPAMMER!!! ***"; dsize:>0; content:"sexiest";<br>
sid:<a href="tel:6677666667" value="+16677666667" target="_blank">6677666667</a>; rev:1;)<br>
<br>
Best Regards<br>
@Rmkml<br>
<br>
<br>
On Fri, 14 Jul 2017, Mesra.net CEO wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Dear All,<br>
<br>
I have problem on Suricata as below:<br>
<br>
14/7/2017 -- 07:32:44 - <Error> - [ERRCODE: SC_ERR_ADDRESS_ENGINE_GENERIC(<wbr>89)] - failed to parse address "25"<br>
14/7/2017 -- 07:32:44 - <Error> - [ERRCODE: SC_ERR_INVALID_SIGNATURE(39)] - error parsing signature "alert tcp $HOME_NET any -> [25,587,465] any (msg:"*** WARNING!!! WARNING!!! SUSPECT SPAMMER!!! ***"; dsize:>0;<br>
content:"sexiest"; sid:<a href="tel:6677666667" value="+16677666667" target="_blank">6677666667</a>; rev:1;)" from file /etc/suricata/rules/custom.rul<wbr>es at line 46<br>
<br>
Is thres any problem with my rule:<br>
<br>
alert tcp $HOME_NET any -> [25,587,465] any (msg:"*** WARNING!!! WARNING!!! SUSPECT SPAMMER!!! ***"; dsize:>0; content:"sexiest"; sid:<a href="tel:6677666667" value="+16677666667" target="_blank">6677666667</a>; rev:1;)" from file /etc/suricata/rules/custom.rul<wbr>es at line 46<br>
<br>
Please advice. TQ so much<br>
<br>
<br>
<br>
<br>
</blockquote></div></div>
______________________________<wbr>_________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundati<wbr>on.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/suppor<wbr>t/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfound<wbr>ation.org/mailman/listinfo/<wbr>oisf-users</a><br>
</blockquote></div><br></div>