Hi Guys,<br />
<br />
I want to store the mail being sent by thunderbird over smtp.<br />
I have modified suricata-5.0.2/build/etc/suricata/suricata.yaml file by enabling filestore and setting filestore dir. Have also enabled smtp. Created the files.rules file. And provided the path to magic-file.<br />
<br />
Have configured iptables as:<br />
<br />
iptables -t mangle -F<br />
iptables -t nat -F PREROUTING<br />
iptables -F<br />
iptables -A INPUT -j NFQUEUE --queue-num 12<br />
iptables -A OUTPUT -j NFQUEUE --queue-num 12<br />
<br />
To start suricata I am doing `./build/bin/suricata -q 12`<br />
<br />
The mentioned files can be found here:<br />
suricata-5.0.2/build/etc/suricata/suricata.yaml -> https://paste.debian.net/1131243/<br />
suricata-5.0.2/build/var/lib/suricata/rules/files.rules -> https://paste.debian.net/1131244/<br />
<br />
I am getting alerts about the smtp transfer in fast.log but the email is not getting stored. What am I missing here ?<br>