<div dir="ltr"><div>What is in your files.rules?  Did you reference it in the yaml rule-files section?</div><div><br></div><div>I just test with an Eicar SMTP pcap and it stored the file for me on 5.0.1 here.  Here's my files.rules:</div><div><br></div><div>alert tcp any any -> any any (msg:"FILE store all"; filestore; flowbits:noalert; sid:1; rev:1;)</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 21, 2020 at 1:53 AM praveen gupta <<a href="mailto:gsf_410@rediffmail.com">gsf_410@rediffmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Guys,<br>
<br>
I want to store the mail being sent by thunderbird over smtp.<br>
I have modified suricata-5.0.2/build/etc/suricata/suricata.yaml file by enabling filestore and setting filestore dir. Have also enabled smtp. Created the files.rules file. And provided the path to magic-file.<br>
<br>
Have configured iptables as:<br>
<br>
iptables -t mangle -F<br>
iptables -t nat -F PREROUTING<br>
iptables -F<br>
iptables -A INPUT -j NFQUEUE --queue-num 12<br>
iptables -A OUTPUT -j NFQUEUE --queue-num 12<br>
<br>
To start suricata I am doing `./build/bin/suricata -q 12`<br>
<br>
The mentioned files can be found here:<br>
suricata-5.0.2/build/etc/suricata/suricata.yaml -> <a href="https://paste.debian.net/1131243/" target="_blank">https://paste.debian.net/1131243/</a><br>
suricata-5.0.2/build/var/lib/suricata/rules/files.rules -> <a href="https://paste.debian.net/1131244/" target="_blank">https://paste.debian.net/1131244/</a><br>
<br>
I am getting alerts about the smtp transfer in fast.log but the email is not getting stored. What am I missing here ?<br>_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div>