<div dir="ltr">Is it possible to do a wildcard in http_host? I ask, because we have ssl broken out, so several sigs we have fire erroneously as phishing or whathaveyou. Being able to do something like:<div><br></div><div>content:"*.<a href="http://irs.gov">irs.gov</a>";http_host; </div><div><br></div><div>would be helpful. Doing content:"<a href="http://irs.gov">irs.gov</a>"; http_host wouldnt work if it matches a pattern in the middle of the string, because phishing domains are likely to have some part of that domain in their hostname. We have about 30 phishing rules, and a few nonphishing rules, that we need to adjust for this, including linkedin and google template rules.</div><div><br></div><div>Dropping the rules isn't an option, since we have many times seen successful https phishes for some of these domains. Thanks!</div></div>