<HTML><HEAD></HEAD>
<BODY dir=ltr>
<DIV dir=ltr>
<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">
<DIV>More digging in the sources tells me:</DIV>
<DIV>The message more than x chars comes before checking for the commmand. 
You'll probably have to wait for version 3.</DIV>
<DIV> </DIV>
<DIV>A different check for starttls and x-anonymoustls would be nice.</DIV>
<DIV> </DIV>
<DIV>The file src/dynamic_preprocessors/snort_smtp.c contains</DIV>
<DIV> </DIV>
<DIV>smtp_known_cmds</DIV>
<DIV>    
"*"              
CMD_ABORT</DIV>
<DIV>(there‚Äôs a starttls or ehlo command but no X- command)</DIV>
<DIV> </DIV>
<DIV>SMTP_HandleCommand</DIV>
<DIV>    check for command line exceeding maximum</DIV>
<DIV>                
SMTP_GenerateAlert(SMTP_COMMAND_OVERFLOW, "%s: more than %d chars",</DIV>
<DIV>                            
SMTP_COMMAND_OVERFLOW_STR, smtp_eval_config->max_command_line_len);</DIV>
<DIV> </DIV>
<DIV>        case CMD_ABORT:</DIV>
<DIV>            
smtp_ssn->state_flags |= SMTP_FLAG_ABORT;</DIV>
<DIV 
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>
<DIV style="FONT: 10pt tahoma">
<DIV> </DIV>
<DIV style="BACKGROUND: #f5f5f5">
<DIV style="font-color: black"><B>From:</B> <A title=danroberts2604@...979...11827... 
href="mailto:danroberts2604@...11827...">Dan Roberts</A> </DIV></DIV></DIV>
<DIV> </DIV></DIV>
<DIV 
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>
<DIV dir=ltr>
<DIV>My questions were regarding the way it is managed by 
snort......</DIV></DIV>
<DIV class=gmail_extra>
<DIV>
<DIV 
style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: rgb(0,0,0); FONT-STYLE: normal; DISPLAY: inline'> </DIV>
<DIV class=gmail_quote>
<BLOCKQUOTE class=gmail_quote 
style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
  <DIV dir=ltr>
  <DIV dir=ltr>
  <DIV style='FONT-SIZE: 12pt; FONT-FAMILY: "Calibri"; COLOR: rgb(0,0,0)'>
  <DIV style="FONT: 10pt tahoma; font-size-adjust: none; font-stretch: normal">
  <DIV style="BACKGROUND: rgb(245,245,245)"></DIV><SPAN>
  <DIV 
  style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: rgb(0,0,0); FONT-STYLE: normal; DISPLAY: inline'>I'm 
  getting continuously FP (I presume) alerts associated to SMTP traffic (124:1:1 
  (smtp) Attempted command buffer overflow: more than 512 
  chars).</DIV></SPAN></DIV></DIV></DIV></DIV></BLOCKQUOTE></DIV>
<BLOCKQUOTE></BLOCKQUOTE></DIV>
<DIV><SPAN><SPAN>
<DIV 
style="TEXT-DECORATION: ; FONT-FAMILY: ; COLOR: ; DISPLAY: inline"></DIV></SPAN></SPAN></DIV>
<DIV><SPAN><SPAN>
<DIV style="TEXT-DECORATION: ; FONT-FAMILY: ; COLOR: ; DISPLAY: inline">I <FONT 
style="BACKGROUND-COLOR: #f5f5f5">bet for a 
FP.</FONT></DIV></SPAN></DIV></SPAN></DIV></DIV></DIV></DIV></BODY></HTML>