<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<base href="x-msg://435/"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:Georgia;
        panose-1:2 4 5 2 5 4 5 2 3 3;}
@font-face
        {font-family:Candara;
        panose-1:2 14 5 2 3 3 3 2 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I am not familiar with BASE so someone else will have to help you with that.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Use tcpdump/wireshark/snoop etc… to capture one of those email sessions.  (You can replay the traffic back into snort and see if you have the traffic in question
 that is giving you the alerts.)<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">If you do have the traffic then open it in wireshark to view the entire tcp stream (use the ‘follow tcp stream’ option) and go from there.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Hope this helps!<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#1F497D">Albert Lewis<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#888888">QA Software Engineer<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Georgia","serif";color:#999999">SOURCE</span><b><span style="font-family:"Georgia","serif";color:red">fire</span></b><span style="font-family:"Georgia","serif";color:#999999">, Inc.
</span><span style="font-family:"Georgia","serif";color:#888888">now part of </span>
<b><span style="font-family:"Georgia","serif";color:#31849B">Cisco</span></b><span style="font-family:"Georgia","serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">9780 Patuxent Woods Drive<br>
Columbia, MD 21046 </span><span style="font-family:"Candara","sans-serif";color:#888888"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">Phone: (office) </span><span style="font-family:"Candara","sans-serif";color:#1F497D">443.430.7112<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family:"Candara","sans-serif";color:#999999">Email:
</span><span style="font-family:"Candara","sans-serif";color:#1F497D">allewi@...589...</span><span style="font-family:"Candara","sans-serif";color:#4F81BD"> </span><span style="font-family:"Candara","sans-serif";color:#1F497D"><o:p></o:p></span></p>
</div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Matteo De Rosa [mailto:matteo.derosa@...17411...]
<br>
<b>Sent:</b> Tuesday, January 12, 2016 7:40 AM<br>
<b>To:</b> Al Lewis (allewi)<br>
<b>Cc:</b> Joel Esler (jesler); snort-users@lists.sourceforge.net<br>
<b>Subject:</b> pop: Unknown POP3 response/command<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have similar alerts for POP and IMAP :<o:p></o:p></p>
<div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="100%" style="width:100.0%;background:white">
<tbody>
<tr>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">[<a href="http://www.snort.org/search/sid/142-2" target="_ACID_ALERT_DESC"><b><span style="color:#223399;text-decoration:none">snort</span></b></a>] pop:
 Unknown POP3 response<o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">protocol-command-decode<o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_qry_main.php?new=1amp;&sig%5B0%5D=%3D&sig%5B1%5D=18&sig_type=1&submit=Query+DB&num_result_rows=-1"><b><span style="color:#223399;text-decoration:none">523</span></b></a>(0%)<o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_stat_sensor.php?sig%5B0%5D=%3D&sig%5B1%5D=18&sig_type=1"><b><span style="color:#223399;text-decoration:none">1</span></b></a><o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_stat_uaddr.php?addr_type=1&sig_type=1&sig%5B0%5D=%3D&sig%5B1%5D=18"><b><span style="color:#223399;text-decoration:none">1</span></b></a><o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_stat_uaddr.php?addr_type=2&sig_type=1&sig%5B0%5D=%3D&sig%5B1%5D=18"><b><span style="color:#223399;text-decoration:none">30</span></b></a><o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<div>
<p class="MsoNormal"><span style="display:none"><o:p> </o:p></span></p>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="100%" style="width:100.0%;background:white">
<tbody>
<tr>
<td valign="top" style="padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">[<a href="http://www.snort.org/search/sid/142-1" target="_ACID_ALERT_DESC"><b><span style="color:#223399;text-decoration:none">snort</span></b></a>] pop:
 Unknown POP3 command<o:p></o:p></span></p>
</td>
<td valign="top" style="padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">protocol-command-decode<o:p></o:p></span></p>
</td>
<td valign="top" style="padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_qry_main.php?new=1amp;&sig%5B0%5D=%3D&sig%5B1%5D=19&sig_type=1&submit=Query+DB&num_result_rows=-1"><b><span style="color:#223399;text-decoration:none">941</span></b></a>(0%)<o:p></o:p></span></p>
</td>
<td valign="top" style="padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_stat_sensor.php?sig%5B0%5D=%3D&sig%5B1%5D=19&sig_type=1"><b><span style="color:#223399;text-decoration:none">1</span></b></a><o:p></o:p></span></p>
</td>
<td valign="top" style="padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_stat_uaddr.php?addr_type=1&sig_type=1&sig%5B0%5D=%3D&sig%5B1%5D=19"><b><span style="color:#223399;text-decoration:none">45</span></b></a><o:p></o:p></span></p>
</td>
<td valign="top" style="padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_stat_uaddr.php?addr_type=2&sig_type=1&sig%5B0%5D=%3D&sig%5B1%5D=19"><b><span style="color:#223399;text-decoration:none">1</span></b></a><o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
<div>
<p class="MsoNormal"><span style="display:none"><o:p> </o:p></span></p>
<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="100%" style="width:100.0%;background:white;z-index:auto">
<tbody>
<tr>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">[<a href="http://www.snort.org/search/sid/141-1" target="_ACID_ALERT_DESC"><b><span style="color:#223399;text-decoration:none">snort</span></b></a>] imap:
 Unknown IMAP4 command<o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif"">protocol-command-decode<o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_qry_main.php?new=1amp;&sig%5B0%5D=%3D&sig%5B1%5D=26&sig_type=1&submit=Query+DB&num_result_rows=-1"><b><span style="color:#223399;text-decoration:none">450</span></b></a>(0%)<o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_stat_sensor.php?sig%5B0%5D=%3D&sig%5B1%5D=26&sig_type=1"><b><span style="color:#223399;text-decoration:none">1</span></b></a><o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="text-align:center"><span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_stat_uaddr.php?addr_type=1&sig_type=1&sig%5B0%5D=%3D&sig%5B1%5D=26"><b><span style="color:#223399;text-decoration:none">19</span></b></a><o:p></o:p></span></p>
</td>
<td valign="top" style="background:#DDDDDD;padding:0in 0in 0in 0in">
<p class="MsoNormal" align="center" style="margin-bottom:12.0pt;text-align:center">
<span style="font-size:10.0pt;font-family:"Arial","sans-serif""><a href="http://192.168.18.112/base/base_stat_uaddr.php?addr_type=2&sig_type=1&sig%5B0%5D=%3D&sig%5B1%5D=26"><b><span style="color:#223399;text-decoration:none">1</span></b></a><o:p></o:p></span></p>
</td>
</tr>
</tbody>
</table>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Decodind method specified in short.conf are:<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<div>
<p class="MsoNormal"># POP preprocessor. For more information see README.pop<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">preprocessor pop: \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   ports { 110 } \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   b64_decode_depth 0 \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   qp_decode_depth 0 \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   bitenc_decode_depth 0 \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   uu_decode_depth 0<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
<div>
<div>
<p class="MsoNormal"># IMAP preprocessor.  For more information see README.imap<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">preprocessor imap: \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   ports { 143 } \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   b64_decode_depth 0 \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   qp_decode_depth 0 \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   bitenc_decode_depth 0 \<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">   uu_decode_depth 0<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">All are related to the unic ENEA-mail-server and a lot of Enea-client .<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">How can I get the <b><i>entire</i></b> session in a pcap ? By BASE  ? And how ?</span><o:p></o:p></p>
</div>
</div>
</blockquote>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Many thank's for collaboration.<o:p></o:p></p>
</div>
<div>
<div>
<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
</div>
</div>
</body>
</html>