10.84. 电子邮件关键词¶
10.84.1. email.from¶
匹配电子邮件的MIME From 字段。
比较区分大小写。
语法:
email.from; content:"<要匹配的内容>";
email.from 是一个'粘性缓冲区',可用作 fast_pattern。
该关键词映射到EVE字段 email.from
10.84.1.1. 示例¶
示例规则:当数据包包含MIME字段 from 且值为 toto <toto@gmail.com> 时触发告警
alert smtp any any -> any any (msg:"测试mime邮件发件人"; email.from; content:"toto <toto@gmail.com>"; sid:1;)
10.84.2. email.subject¶
匹配电子邮件的MIME Subject 字段。
比较区分大小写。
语法:
email.subject; content:"<要匹配的内容>";
email.subject 是一个'粘性缓冲区',可用作 fast_pattern。
该关键词映射到EVE字段 email.subject
10.84.2.1. 示例¶
示例规则:当数据包包含MIME字段 subject 且值为 This is a test email 时触发告警
alert smtp any any -> any any (msg:"测试mime邮件主题"; email.subject; content:"This is a test email"; sid:1;)
10.84.3. email.to¶
匹配电子邮件的MIME To 字段。
比较区分大小写。
语法:
email.to; content:"<要匹配的内容>";
email.to 是一个'粘性缓冲区',可用作 fast_pattern。
该关键词映射到EVE字段 email.to
10.84.3.1. 示例¶
示例规则:当数据包包含MIME字段 to 且值为 172.16.92.2@linuxbox 时触发告警
alert smtp any any -> any any (msg:"测试mime邮件收件人"; email.to; content:"172.16.92.2@linuxbox"; sid:1;)
10.84.4. email.cc¶
匹配电子邮件的MIME Cc 字段。
比较区分大小写。
语法:
email.cc; content:"<要匹配的内容>";
email.cc 是一个'粘性缓冲区',可用作 fast_pattern。
该关键词映射到EVE字段 email.cc[]
10.84.4.1. 示例¶
示例规则:当数据包包含MIME字段 cc 且值为 Emily <emily.roberts@example.com>, Ava <ava.johnson@example.com>, Sophia Wilson <sophia.wilson@example.com> 时触发告警
alert smtp any any -> any any (msg:"测试mime邮件抄送"; email.cc; content:"Emily <emily.roberts@example.com>, Ava <ava.johnson@example.com>, Sophia Wilson <sophia.wilson@example.com>"; sid:1;)
10.84.5. email.date¶
匹配电子邮件的MIME Date 字段。
比较区分大小写。
语法:
email.date; content:"<要匹配的内容>";
email.date 是一个'粘性缓冲区',可用作 fast_pattern。
该关键词映射到EVE字段 email.date
10.84.5.1. 示例¶
示例规则:当数据包包含MIME字段 date 且值为 Fri, 21 Apr 2023 05:10:36 +0000 时触发告警
alert smtp any any -> any any (msg:"测试mime邮件日期"; email.date; content:"Fri, 21 Apr 2023 05:10:36 +0000"; sid:1;)
10.84.6. email.message_id¶
匹配电子邮件的MIME Message-Id 字段。
比较区分大小写。
语法:
email.message_id; content:"<要匹配的内容>";
email.message_id 是一个'粘性缓冲区',可用作 fast_pattern。
该关键词映射到EVE字段 email.message_id
10.84.6.1. 示例¶
示例规则:当数据包包含MIME字段 message id 且值为 <alpine.DEB.2.00.1311261630120.9535@sd-26634.dedibox.fr> 时触发告警
alert smtp any any -> any any (msg:"测试mime邮件消息ID"; email.message_id; content:"<alpine.DEB.2.00.1311261630120.9535@sd-26634.dedibox.fr>"; sid:1;)
10.84.7. email.x_mailer¶
匹配电子邮件的MIME X-Mailer 字段。
比较区分大小写。
语法:
email.x_mailer; content:"<要匹配的内容>";
email.x_mailer 是一个'粘性缓冲区',可用作 fast_pattern。
该关键词映射到EVE字段 email.x_mailer
10.84.7.1. 示例¶
示例规则:当数据包包含MIME字段 x-mailer 且值为 Microsoft Office Outlook, Build 11.0.5510 时触发告警
alert smtp any any -> any any (msg:"测试mime邮件X-Mailer"; email.x_mailer; content:"Microsoft Office Outlook, Build 11.0.5510"; sid:1;)
10.84.8. email.url¶
匹配从电子邮件中提取的``URL``。
比较区分大小写。
语法:
email.url; content:"<要匹配的内容>";
email.url 是一个'粘性缓冲区',可用作 fast_pattern。
email.url 支持多缓冲区匹配,参见 多缓冲区匹配。
该关键词映射到EVE字段 email.url[]
10.84.8.1. 示例¶
示例规则:当电子邮件包含``url`` ``test-site.org/blah/123/``时触发告警
alert smtp any any -> any any (msg:"测试mime邮件URL"; email.url; content:"test-site.org/blah/123/"; sid:1;)
10.84.9. email.received¶
匹配电子邮件的``Received``字段。
比较区分大小写。
语法:
email.received; content:"<要匹配的内容>";
email.received 是一个'粘性缓冲区',可用作 fast_pattern。
email.received 支持多缓冲区匹配,参见 多缓冲区匹配。
该关键词映射到EVE字段 email.received[]
10.84.9.1. 示例¶
示例规则:当数据包包含MIME字段 received 且值为 from [65.201.218.30] (helo=COZOXORY.club)by 173-66-46-112.wash.fios.verizon.net with esmtpa (Exim 4.86)(envelope-from )id 71cF63a9for mirjam@abrakadabra.ch; Mon, 29 Jul 2019 17:01:45 +0000 时触发告警
alert smtp any any -> any any (msg:"测试mime邮件接收路径"; email.received; content:"from [65.201.218.30] (helo=COZOXORY.club)by 173-66-46-112.wash.fios.verizon.net with esmtpa (Exim 4.86)(envelope-from )id 71cF63a9for mirjam@abrakadabra.ch; Mon, 29 Jul 2019 17:01:45 +0000"; sid:1;)