电子邮件关键词 ============== .. role:: example-rule-emphasis email.from ---------- 匹配电子邮件的MIME ``From`` 字段。 比较区分大小写。 语法:: email.from; content:"<要匹配的内容>"; ``email.from`` 是一个'粘性缓冲区',可用作 ``fast_pattern``。 该关键词映射到EVE字段 ``email.from`` 示例 ^^^^^^^ 示例规则:当数据包包含MIME字段 ``from`` 且值为 ``toto `` 时触发告警 .. container:: example-rule alert smtp any any -> any any (msg:"测试mime邮件发件人"; :example-rule-emphasis:`email.from; content:"toto ";` sid:1;) email.subject ------------- 匹配电子邮件的MIME ``Subject`` 字段。 比较区分大小写。 语法:: email.subject; content:"<要匹配的内容>"; ``email.subject`` 是一个'粘性缓冲区',可用作 ``fast_pattern``。 该关键词映射到EVE字段 ``email.subject`` 示例 ^^^^^^^ 示例规则:当数据包包含MIME字段 ``subject`` 且值为 ``This is a test email`` 时触发告警 .. container:: example-rule alert smtp any any -> any any (msg:"测试mime邮件主题"; :example-rule-emphasis:`email.subject; content:"This is a test email";` sid:1;) email.to -------- 匹配电子邮件的MIME ``To`` 字段。 比较区分大小写。 语法:: email.to; content:"<要匹配的内容>"; ``email.to`` 是一个'粘性缓冲区',可用作 ``fast_pattern``。 该关键词映射到EVE字段 ``email.to`` 示例 ^^^^^^^ 示例规则:当数据包包含MIME字段 ``to`` 且值为 ``172.16.92.2@linuxbox`` 时触发告警 .. container:: example-rule alert smtp any any -> any any (msg:"测试mime邮件收件人"; :example-rule-emphasis:`email.to; content:"172.16.92.2@linuxbox";` sid:1;) email.cc -------- 匹配电子邮件的MIME ``Cc`` 字段。 比较区分大小写。 语法:: email.cc; content:"<要匹配的内容>"; ``email.cc`` 是一个'粘性缓冲区',可用作 ``fast_pattern``。 该关键词映射到EVE字段 ``email.cc[]`` 示例 ^^^^^^^ 示例规则:当数据包包含MIME字段 ``cc`` 且值为 ``Emily , Ava , Sophia Wilson `` 时触发告警 .. container:: example-rule alert smtp any any -> any any (msg:"测试mime邮件抄送"; :example-rule-emphasis:`email.cc; content:"Emily , Ava , Sophia Wilson ";` sid:1;) email.date ---------- 匹配电子邮件的MIME ``Date`` 字段。 比较区分大小写。 语法:: email.date; content:"<要匹配的内容>"; ``email.date`` 是一个'粘性缓冲区',可用作 ``fast_pattern``。 该关键词映射到EVE字段 ``email.date`` 示例 ^^^^^^^ 示例规则:当数据包包含MIME字段 ``date`` 且值为 ``Fri, 21 Apr 2023 05:10:36 +0000`` 时触发告警 .. container:: example-rule alert smtp any any -> any any (msg:"测试mime邮件日期"; :example-rule-emphasis:`email.date; content:"Fri, 21 Apr 2023 05:10:36 +0000";` sid:1;) email.message_id ---------------- 匹配电子邮件的MIME ``Message-Id`` 字段。 比较区分大小写。 语法:: email.message_id; content:"<要匹配的内容>"; ``email.message_id`` 是一个'粘性缓冲区',可用作 ``fast_pattern``。 该关键词映射到EVE字段 ``email.message_id`` 示例 ^^^^^^^ 示例规则:当数据包包含MIME字段 ``message id`` 且值为 ```` 时触发告警 .. container:: example-rule alert smtp any any -> any any (msg:"测试mime邮件消息ID"; :example-rule-emphasis:`email.message_id; content:"";` sid:1;) email.x_mailer -------------- 匹配电子邮件的MIME ``X-Mailer`` 字段。 比较区分大小写。 语法:: email.x_mailer; content:"<要匹配的内容>"; ``email.x_mailer`` 是一个'粘性缓冲区',可用作 ``fast_pattern``。 该关键词映射到EVE字段 ``email.x_mailer`` 示例 ^^^^^^^ 示例规则:当数据包包含MIME字段 ``x-mailer`` 且值为 ``Microsoft Office Outlook, Build 11.0.5510`` 时触发告警 .. container:: example-rule alert smtp any any -> any any (msg:"测试mime邮件X-Mailer"; :example-rule-emphasis:`email.x_mailer; content:"Microsoft Office Outlook, Build 11.0.5510";` sid:1;) email.url --------- 匹配从电子邮件中提取的``URL``。 比较区分大小写。 语法:: email.url; content:"<要匹配的内容>"; ``email.url`` 是一个'粘性缓冲区',可用作 ``fast_pattern``。 ``email.url`` 支持多缓冲区匹配,参见 :doc:`multi-buffer-matching`。 该关键词映射到EVE字段 ``email.url[]`` 示例 ^^^^^^^ 示例规则:当电子邮件包含``url`` ``test-site.org/blah/123/``时触发告警 .. container:: example-rule alert smtp any any -> any any (msg:"测试mime邮件URL"; :example-rule-emphasis:`email.url; content:"test-site.org/blah/123/";` sid:1;) email.received -------------- 匹配电子邮件的``Received``字段。 比较区分大小写。 语法:: email.received; content:"<要匹配的内容>"; ``email.received`` 是一个'粘性缓冲区',可用作 ``fast_pattern``。 ``email.received`` 支持多缓冲区匹配,参见 :doc:`multi-buffer-matching`。 该关键词映射到EVE字段 ``email.received[]`` 示例 ^^^^^^^ 示例规则:当数据包包含MIME字段 ``received`` 且值为 ``from [65.201.218.30] (helo=COZOXORY.club)by 173-66-46-112.wash.fios.verizon.net with esmtpa (Exim 4.86)(envelope-from )id 71cF63a9for mirjam@abrakadabra.ch; Mon, 29 Jul 2019 17:01:45 +0000`` 时触发告警 .. container:: example-rule alert smtp any any -> any any (msg:"测试mime邮件接收路径"; :example-rule-emphasis:`email.received; content:"from [65.201.218.30] (helo=COZOXORY.club)by 173-66-46-112.wash.fios.verizon.net with esmtpa (Exim 4.86)(envelope-from )id 71cF63a9for mirjam@abrakadabra.ch\; Mon, 29 Jul 2019 17:01:45 +0000";` sid:1;)