<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">
<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2653.12">
<TITLE>RE: [Snort-users] SMTP Relaying bug</TITLE>
</HEAD>
<BODY>
<BR>

<P><FONT SIZE=2>If you're talking about the following rule:  </FONT>
</P>

<P><FONT SIZE=2>alert tcp $SMTP 25 -> $EXTERNAL_NET any (msg:"POLICY SMTP relaying denied"; flags:A+; content: "550 5.7.1"; depth:70; reference:url,mail-abuse.org/tsi/ar-fix.html; reference:arachnids,249; classtype:misc-activity; sid:567; rev:8;)</FONT></P>

<P><FONT SIZE=2>then what you have is a rule that traps when *your* mail server responds from its own TCP port 25 to any outside network on any port, and the response contains the text "550 5.7.1".  This implies that someone outside your network attempted to use your SMTP server as a relay point and your server denied the relay attempt, not that your server is attempting to send mail through a closed relay.  That rule would be something like:  </FONT></P>

<P><FONT SIZE=2>alert tcp $EXTERNAL_NET 25 -> $SMTP any (msg:"POLICY SMTP relaying denied"; flags:A+; content: "550 5.7.1"; depth:70; reference:url,mail-abuse.org/tsi/ar-fix.html; reference:arachnids,249; classtype:misc-activity; sid:567; rev:8;)  </FONT></P>

<P><FONT SIZE=2>Hope this helps.  </FONT>
</P>

<P><FONT SIZE=2>Christopher</FONT>
</P>

<P><FONT SIZE=2>-----Original Message-----</FONT>
<BR><FONT SIZE=2>Date: Tue, 14 Jan 2003 12:22:36 -0500 (EST)</FONT>
<BR><FONT SIZE=2>From: Pauling <pauling@...7196...></FONT>
<BR><FONT SIZE=2>To: snort-users@lists.sourceforge.net</FONT>
<BR><FONT SIZE=2>Subject: [Snort-users] SMTP Relaying bug</FONT>
</P>

<P><FONT SIZE=2>Has anybody noticed this, that the Alert for an SMTP relay attack monitors </FONT>
<BR><FONT SIZE=2>the 550 RELAING DENIED message, and as such, gives a misleading </FONT>
<BR><FONT SIZE=2>notification implying that your server is attempting to send mail through </FONT>
<BR><FONT SIZE=2>a closed relay.</FONT>
</P>

<P><FONT SIZE=2>I'm not very good at writing snort rules, but is there any way to </FONT>
<BR><FONT SIZE=2>efectively reverse this, so that the alert reads that a mail message from </FONT>
<BR><FONT SIZE=2>$EXTERNAL_NET was not relayed through $SMTP_SERVERS</FONT>
</P>

<P><FONT SIZE=2>-- </FONT>
<BR><FONT SIZE=2>Frank Barton</FONT>
<BR><FONT SIZE=2>Starwolf.biz Systems Administrator</FONT>
</P>

</BODY>
</HTML>