<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML xmlns="http://www.w3.org/TR/REC-html40" xmlns:o = 
"urn:schemas-microsoft-com:office:office" xmlns:w = 
"urn:schemas-microsoft-com:office:word"><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content=Word.Document name=ProgId>
<META content="MSHTML 6.00.2800.1170" name=GENERATOR>
<META content="Microsoft Word 10" name=Originator><LINK 
href="cid:filelist.xml@...9608..." rel=File-List><!--[if gte mso 9]><xml>
 <o:OfficeDocumentSettings>
  <o:DoNotRelyOnCSS/>
 </o:OfficeDocumentSettings>
</xml><![endif]--><!--[if gte mso 9]><xml>
 <w:WordDocument>
  <w:SpellingState>Clean</w:SpellingState>
  <w:GrammarState>Clean</w:GrammarState>
  <w:DocumentKind>DocumentEmail</w:DocumentKind>
  <w:HyphenationZone>21</w:HyphenationZone>
  <w:EnvelopeVis/>
  <w:Compatibility>
   <w:BreakWrappedTables/>
   <w:SnapToGridInCell/>
   <w:WrapTextWithPunct/>
   <w:UseAsianBreakRules/>
  </w:Compatibility>
  <w:BrowserLevel>MicrosoftInternetExplorer4</w:BrowserLevel>
 </w:WordDocument>
</xml><![endif]-->
<STYLE>@page Section1 {size: 595.3pt 841.9pt; margin: 70.85pt 69.6pt 70.85pt 69.6pt; mso-header-margin: 35.4pt; mso-footer-margin: 35.4pt; mso-paper-source: 0; }
P.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"; mso-style-parent: ""; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"
}
LI.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"; mso-style-parent: ""; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"
}
DIV.MsoNormal {
        FONT-SIZE: 12pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"; mso-style-parent: ""; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"
}
A:link {
        COLOR: blue; TEXT-DECORATION: underline; text-underline: single
}
SPAN.MsoHyperlink {
        COLOR: blue; TEXT-DECORATION: underline; text-underline: single
}
A:visited {
        COLOR: purple; TEXT-DECORATION: underline; text-underline: single
}
SPAN.MsoHyperlinkFollowed {
        COLOR: purple; TEXT-DECORATION: underline; text-underline: single
}
P.MsoPlainText {
        FONT-SIZE: 10pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Courier New"; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"
}
LI.MsoPlainText {
        FONT-SIZE: 10pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Courier New"; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"
}
DIV.MsoPlainText {
        FONT-SIZE: 10pt; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Courier New"; mso-pagination: widow-orphan; mso-fareast-font-family: "Times New Roman"
}
SPAN.StyleCourrierlectronique17 {
        COLOR: windowtext; FONT-FAMILY: Arial; mso-style-type: personal-compose; mso-style-noshow: yes; mso-ansi-font-size: 10.0pt; mso-bidi-font-size: 10.0pt; mso-ascii-font-family: Arial; mso-hansi-font-family: Arial; mso-bidi-font-family: Arial
}
SPAN.SpellE {
        mso-style-name: ""; mso-spl-e: yes
}
SPAN.GramE {
        mso-style-name: ""; mso-gram-e: yes
}
DIV.Section1 {
        page: Section1
}
</STYLE>
<!--[if gte mso 10]>
<style>
 /* Style Definitions */ 
 table.MsoNormalTable
        {mso-style-name:"Tableau Normal";
        mso-tstyle-rowband-size:0;
        mso-tstyle-colband-size:0;
        mso-style-noshow:yes;
        mso-style-parent:"";
        mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
        mso-para-margin:0cm;
        mso-para-margin-bottom:.0001pt;
        mso-pagination:widow-orphan;
        font-size:10.0pt;
        font-family:"Times New Roman";}
</style>
<![endif]--></HEAD>
<BODY lang=FR style="tab-interval: 35.4pt" vLink=purple link=blue 
bgColor=#ffffff>
<DIV><FONT face=Arial size=2>you can try using the session keyword in your 
alerts:</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>alert tcp any any -> any 110 (msg: "Password 
string"; content: "password"; session: printable;)</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT> </DIV>
<DIV><FONT face=Arial size=2>- jon</FONT></DIV>
<DIV><BR>pgp key: <A 
href="http://www.jonbaer.net/jonbaer.asc">http://www.jonbaer.net/jonbaer.asc</A><BR>fingerprint: 
F438 A47E C45E 8B27 F68C 1F9B 41DB DB8B 9A0C AF47</DIV>
<DIV> </DIV>
<DIV> </DIV>
<BLOCKQUOTE dir=ltr 
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B> 
  <A title=Christian.Heroux@...8601... 
  href="mailto:Christian.Heroux@...8601...">Héroux, Christian</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A 
  title=snort-sigs@lists.sourceforge.net 
  href="mailto:snort-sigs@lists.sourceforge.net">snort-sigs@...4137...orge.net</A> 
  </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Friday, July 04, 2003 3:09 PM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> [Snort-sigs] capturing and 
  inspecting an email!</DIV>
  <DIV><BR></DIV>
  <DIV class=Section1>
  <P class=MsoPlainText><FONT face="Courier New" size=2><SPAN lang=EN-CA 
  style="FONT-SIZE: 10pt; mso-ansi-language: EN-CA">Hello <SPAN class=GramE>all 
  !</SPAN><o:p></o:p></SPAN></FONT></P>
  <P class=MsoPlainText><FONT face="Courier New" size=2><SPAN lang=EN-CA 
  style="FONT-SIZE: 10pt; mso-ansi-language: EN-CA"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoPlainText><FONT face="Courier New" size=2><SPAN lang=EN-CA 
  style="FONT-SIZE: 10pt; mso-ansi-language: EN-CA"><SPAN 
  style="mso-tab-count: 1">      </SPAN>I would like to 
  make a rule not base on a single packet but on the whole sequence of packet 
  forming an email to check for the word "password" and log that email. I have 
  checked the rules and they only inspect at the level packet! How do you use 
  the <SPAN class=SpellE>preprocess</SPAN> Stream4 when writing a 
  rule?<o:p></o:p></SPAN></FONT></P>
  <P class=MsoPlainText><FONT face="Courier New" size=2><SPAN lang=EN-CA 
  style="FONT-SIZE: 10pt; mso-ansi-language: EN-CA"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoPlainText><FONT face="Courier New" size=2><SPAN lang=EN-CA 
  style="FONT-SIZE: 10pt; mso-ansi-language: EN-CA">Can you point out some <SPAN 
  class=SpellE>exemple</SPAN> with <SPAN class=SpellE>preprocess</SPAN> Stream4 
  and Stream4_Reassemble…<o:p></o:p></SPAN></FONT></P>
  <P class=MsoPlainText><FONT face="Courier New" size=2><SPAN lang=EN-CA 
  style="FONT-SIZE: 10pt; mso-ansi-language: EN-CA"><o:p> </o:p></SPAN></FONT></P>
  <P class=MsoPlainText><FONT face="Courier New" size=2><SPAN lang=EN-CA 
  style="FONT-SIZE: 10pt; mso-ansi-language: EN-CA">Thanks<o:p></o:p></SPAN></FONT></P>
  <P class=MsoNormal><FONT face=Arial size=2><SPAN 
  style="FONT-SIZE: 10pt; FONT-FAMILY: Arial"><o:p> </o:p></SPAN></FONT></P></DIV></BLOCKQUOTE></BODY></HTML>