AWS Network Firewall Suricata 为 SMTP over TLS 规则特定的 TLS 域
AWS Network Firewall Suricata rule specific TLS domain for SMTP over TLS
我正在使用 Suricata 规则在 AWS 网络防火墙上工作,以通过 FQDN 将特定源 IP 地址过滤到不同的目的地,主要用于 HTTP 和 HTTPS。
据我所知,HTTPS 是使用 TLS SNI 进行过滤,是否也可以通过 TLS 应用于 SMTP?
严格规则顺序的示例规则:
pass tls 172.31.10.11/32 any -> $EXTERNAL_NET 587 (tls.sni; dotprefix; content:".us-west-2.amazonaws.com"; nocase; endswith; msg:"matching TLS allowlisted FQDNs - .us-west-2.amazonaws.com"; flow:to_server, established; sid:107; rev:1;)
pass tcp 172.31.10.11/32 any <> $EXTERNAL_NET 587 (sid:501; rev:1;)
但是,如果我不包括最后一条规则,它无法通过 587 端口上的任何流量。
TLS 控制是否可以应用于 SMTP,类似于仅允许通过 FQDN 到达特定目的地的 HTTPS?
感谢您的帮助。
SMTP 通常不需要 SNI。服务器通常不期望它,因为在特定 IP 地址上通常只有一个具有单个主机名的服务器,即使该服务器负责多个邮件域。因此客户端可能会也可能不会添加 SNI,服务器通常会忽略它。
自 2019 年以来,有一些服务器像 Postfix 一样在一段时间内支持 SNI。但是许多服务器和客户端不支持,因此不能依赖它。
我正在使用 Suricata 规则在 AWS 网络防火墙上工作,以通过 FQDN 将特定源 IP 地址过滤到不同的目的地,主要用于 HTTP 和 HTTPS。
据我所知,HTTPS 是使用 TLS SNI 进行过滤,是否也可以通过 TLS 应用于 SMTP?
严格规则顺序的示例规则:
pass tls 172.31.10.11/32 any -> $EXTERNAL_NET 587 (tls.sni; dotprefix; content:".us-west-2.amazonaws.com"; nocase; endswith; msg:"matching TLS allowlisted FQDNs - .us-west-2.amazonaws.com"; flow:to_server, established; sid:107; rev:1;)
pass tcp 172.31.10.11/32 any <> $EXTERNAL_NET 587 (sid:501; rev:1;)
但是,如果我不包括最后一条规则,它无法通过 587 端口上的任何流量。
TLS 控制是否可以应用于 SMTP,类似于仅允许通过 FQDN 到达特定目的地的 HTTPS?
感谢您的帮助。
SMTP 通常不需要 SNI。服务器通常不期望它,因为在特定 IP 地址上通常只有一个具有单个主机名的服务器,即使该服务器负责多个邮件域。因此客户端可能会也可能不会添加 SNI,服务器通常会忽略它。
自 2019 年以来,有一些服务器像 Postfix 一样在一段时间内支持 SNI。但是许多服务器和客户端不支持,因此不能依赖它。