Cisco Cisco Firepower Management Center 2000 User Guide

27-53

FireSIGHT 系统用户指南 

第 27 章      使用应用层预处理器 

  解码 SMTP 流量    

即使此列表为空，预处理器仍允许下列有效命令：ATRN AUTH BDAT DATA DEBUG EHLO 
EMAL ESAM ESND ESOM ETRN EVFY EXPN HELO HELP IDENT MAIL NOOP ONEX 
QUEU QUIT RCPT RSET SAML SEND SIZE SOML STARTTLS TICK TIME TURN TURNME 
VERB VRFY XADR XAUTH XCIR XEXCH50 X-EXPS XGEN XLICENSE X-LINK2STATE 
XQUE XSTA XTRN XUSR 

注

RCPT TO 和 MAIL FROM 是 SMTP 命令。对这两个命令，预处理器配置分别使用命令名 RCPT 和 
MAIL。在代码中，预处理器会将 RCPT 和 MAIL 映射到正确的命令名。

可以启用规则 124:4 为此选项生成事件。有关详情，请参见

。

列出以与 SMTP DATA 命令按照 RFC5321 的要求发送数据相同的方法发起数据发送的命令。
使用空格分隔多个命令。

列出以与 BDAT 命令按照 RFC 3030 的要求发送数据类似的方法发起数据发送的命令。使用空
格分隔多个命令。

列出发起客户端和服务器之间的身份认证交换的命令。使用空格分隔多个命令。

检测作为 X-Link2State Microsoft Exchange 缓冲区数据溢出攻击的一部分的数据包。在内联部
署中，系统还可以丢弃这些数据包。

可以启用规则 124:8 为此选项生成事件。有关详情，请参见

。

在 

 已禁用的情况下，指定要从每个 Base64 编码的 MIME 邮件附件中提取和解码的

最大字节数。可指定 1 到 65535 字节，或者指定 0 以解码所有 Base64 数据。指定 -1 将会忽略 
Base64 数据。如果选择了 

，预处理器将不会对数据进行解码。

请注意，不能被 4 整除的正值将向上舍入为最接近的 4 的倍数，但值 65533、 65534、 65535 
除外，因为它们将向下舍入为 65532。

如果启用了 Base64 解码，可以启用规则 124:10，以在解码失败时生成事件；导致解码失败的
原因包括，编码不正确或数据损坏，等等。有关详情，请参见

。

请注意，此选项取代已被弃用的 

 和

 选项，后

两个选项由于具有向后兼容性，因此在现有入侵策略中仍受到支持。

在 

 已禁用的情况下，指定要从每个不要求解码的 MIME 邮件附件中提取的数据的

最大字节数。这些附件类型包括 7 位、 8 位、二进制以及各种多部分内容类型 （例如，纯文
本、jpeg 图像、mp3 文件等）。可指定 1 到 65535 字节，或者指定 0 以提取数据包中的所有数
据。指定 -1 将会忽略非解码数据。如果选择了 

，预处理器将不会提取数据。

在 

 已禁用的情况下，指定要从每个 Quoted-Printable (QP) 编码的 MIME 邮件附件中

提取和解码的最大字节数。