Я новичок в нюхании правил, и мне нужно правило, которое будет предупреждать любое письмо от определенного пользователя. Например:
alert tcp any any -> any 25 (msg:"Target Email Detected"; content:"email@thatemail.com"; fast_pattern:only; nocase; classtype: Target Email Detected ;sid:12345 ;)
Это правило на данный момент будет нюхать его, если оно есть в содержимом, но почта с адреса электронной почты выше не будет оповещена.
Ваше правило выглядит хорошо по большей части. Я считаю, что проблема связана с вашим отображением / классификацией sid. Если вы определите новый тип classtype, как вы сделали, есть дополнительные параметры конфигурации, которые необходимо установить - в этом случае намного проще переработать что-то существующее. Я бы предложил использовать классификацию нарушений политики.
RE: Комментарий Поле содержимого ищет все тело пакета, которое видит. Это не должно быть проблемой PCRE. Возможно, вы захотите посмотреть на сборку потока. Возможно, искомая строка разрывается между пакетами. Попробуйте запустить Wireshark и захватить нужные вам пакеты.