etc/rules/mailscanner_rules.xml

   1 <!-- @(#) $Id: ./etc/rules/mailscanner_rules.xml, 2011/09/08 dcid Exp $
   2
   3   -  Example of MailScanner rules for OSSEC.
   4   -
   5   -  Copyright (C) 2009 Trend Micro Inc.
   6   -  All rights reserved.
   7   -
   8   -  This program is a free software; you can redistribute it
   9   -  and/or modify it under the terms of the GNU General Public
  10   -  License (version 2) as published by the FSF - Free Software
  11   -  Foundation.
  12   -
  13   -  License details: http://www.ossec.net/en/licensing.html
  14   -->
  15
  16
  17 <group name="syslog,mailscanner,">
  18   <rule id="3700" level="0">
  19     <decoded_as>mailscanner</decoded_as>
  20     <description>Grouping of mailscanner rules.</description>
  21   </rule>
  22
  23   <rule id="3701" level="0">
  24     <if_sid>3700</if_sid>
  25     <action>not</action>
  26     <description>Non spam message. Ignored.</description>
  27   </rule>
  28
  29   <rule id="3702" level="5">
  30     <if_sid>3700</if_sid>
  31     <action>spam</action>
  32     <description>Mail Scanner spam detected.</description>
  33     <group>spam,</group>
  34   </rule>
  35
  36   <rule id="3751" level="6" frequency="6" timeframe="180">
  37     <if_matched_sid>3702</if_matched_sid>
  38     <same_source_ip />
  39     <description>Multiple attempts of spam.</description>
  40     <group>multiple_spam,</group>
  41   </rule>
  42 </group> <!-- SYSLOG,MAILSCANNER -->