IPS blocking mail traffic Attempted User Privilege Gain

At one site that I moved to V9, they have an external mail server, and I wound up having to disable SIDs 6220, 16461, 16586, 17517, 18683, 19180, 21927, 22081, 22954, 23041, 23227, 23404 & 24673 to allow Microsoft attachments to come in on received (port 110) emails and to go to the server for sent (port 25) emails.  It appears that you're having a related issue.

Cheers - Bob

Hi Bob, ok I will try it but I don't know how to disable the SIDs. Can you help me how I can disable?

Thank you

It's very easy, Aldi,

'Network Protection >> Intrusion Prevention' 'Advanced' tab, 'Manual rule modification'

Cheers - Bob

Hi Bob, thank you for your support!

Have a nice Weekend!

Hi, that does't help. The IPS Log shows:

2013:01:14-12:22:48 mail snort[5163]: S5: Session exceeded configured max bytes to queue 1048576 using 1049864 bytes (server queue). 100.100.100.100 51243 --> 192.1.1.200 25 (0) : LWstate 0x9 LWFlags 0x406007
2013:01:14-12:26:22 mail snort[5163]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="FILE-OFFICE Microsoft Office Excel pivot item index boundary corruption attempt" group="310" srcip="100.100.100.100" dstip="192.1.1.200" proto="6" srcport="51243" dstport="25" sid="23559" class="Attempted User Privilege Gain" priority="1"  generator="1" msgid="0"

The 192.1.1.200 is our internal Mail Gateway the ip 100.100.100.100 stands for our customer which will send Mail to us.

Does I have to deactivate ID 2101?

Thank you

oh...... I think the sid 23559 is the right one to disable...

Yes, always use the SID (which stands for Snort ID).

Barry

ok thank you!