我在Ubuntu 20.04虚拟机上部署了Suricata 7.0.2 IDS，环境里有两个虚拟网络：

• 攻击方的邮件客户端（Attacker）发邮件到本地Postfix邮件服务器（attacker-mailServer，IP：10.0.3.17）
• 该邮件服务器会通过SMTP 25端口，将邮件中继到目标邮件服务器（Target Mail Server，IP：10.0.2.1）

我已经用Wireshark抓包确认了SMTP流量的走向符合预期，源、目标IP和SMTP协议内容都能正常捕获到。

我的需求是：让Suricata检测这类SMTP中继流量并生成告警，同时把告警日志输出到/var/log/suricata/eve.json（按照Suricata文档的要求配置）。

自定义规则 #

我编写了两条自定义规则，并存到了新规则文件中：

alert tcp any any -> [10.0.2.0/24] 25 (msg:"SMTP Relay Connection"; flow:to_server,established; sid: 9998088; rev:8;)

alert smtp any any -> [10.0.2.0/24] any (msg:"SMTP Protocol Activity"; flow:to_server,established; sid: 9900066; rev:2;)

配置修改与验证 #

1. 我已经在Suricata配置文件/etc/suricata/suricata.yaml的rule-files:部分添加了这个新规则文件
2. 为了支持SMTP应用层检测和eve-log输出，我也修改了配置文件的app_layer和outputs:eve-log:types相关配置（对应截图：SMTP Traffic Detection、SMTP Log Output）
3. 执行了以下命令验证配置并重启服务，全程没有报错，说明规则语法和配置逻辑没有问题：

sudo suricata -T -c /etc/suricata/suricata.yaml -v
sudo systemctl restart suricata

遇到的问题 #

我通过发送邮件触发中继流量后，/var/log/suricata/eve.json中并没有出现预期的“SMTP Relay Connection”或“SMTP Protocol Activity”告警。请问各位大佬，可能是什么原因导致的？麻烦帮忙排查一下，谢谢！

备注：内容来源于stack exchange，提问作者Stephen Jacob