etc/rules/mailscanner_rules.xml

   1 <!-- @(#) $Id$
   2   -  Example of MailScanner rules for OSSEC.
   3   -
   4   -  Copyright (C) 2009 Trend Micro Inc.
   5   -  All rights reserved.
   6   -
   7   -  This program is a free software; you can redistribute it
   8   -  and/or modify it under the terms of the GNU General Public
   9   -  License (version 2) as published by the FSF - Free Software
  10   -  Foundation.
  11   -
  12   -  License details: http://www.ossec.net/en/licensing.html
  13   -->
  14
  15
  16 <group name="syslog,mailscanner,">
  17   <rule id="3700" level="0">
  18     <decoded_as>mailscanner</decoded_as>
  19     <description>Grouping of mailscanner rules.</description>
  20   </rule>
  21
  22   <rule id="3701" level="0">
  23     <if_sid>3700</if_sid>
  24     <action>not</action>
  25     <description>Non spam message. Ignored.</description>
  26   </rule>
  27
  28   <rule id="3702" level="5">
  29     <if_sid>3700</if_sid>
  30     <action>spam</action>
  31     <description>Mail Scanner spam detected.</description>
  32     <group>spam,</group>
  33   </rule>
  34
  35   <rule id="3751" level="6" frequency="6" timeframe="180">
  36     <if_matched_sid>3702</if_matched_sid>
  37     <same_source_ip />
  38     <description>Multiple attempts of spam.</description>
  39     <group>multiple_spam,</group>
  40   </rule>
  41 </group> <!-- SYSLOG,MAILSCANNER -->