Предупреждения OSSIM для правил Фырканья
Старые домены были полностью удалены из старого почтового сервера? Во многих почтовых серверах, если домен определяется как имя, подаваемое тем сервером, он даже не будет смотреть на DNS для наблюдения, куда почта должна быть поставлена (так как он уже размещает тот домен, никакая потребность искать его). Почта от old-domain.com до other-domains.com была бы просто поставлена локально, если бы они были все еще настроены на почтовом сервере, независимо от того, что DNS говорит, чтобы сделать с ним.
Что касается входящей корреспонденции, это могло быть связано также. Если сервер получения видит, что почта входит из Интернета на доменах, которые, как предполагается, локальны (т.е. входящий SMTP без любого вида аутентификации, или от известного диапазона IP) затем это может рассматривать его как подозреваемого и фильтровать его как спам.
Эти виды вещей также легче диагностировать, когда реальные домены используются. Домены в качестве примера являются большими для теоретических или универсальных проблем, но специфические особенности работают намного лучше на определенные проблемы.
Попробуйте использовать forum.alienvault.com для такого рода вопросов - там они, как правило, получают больше ответов.
Вам нужно правило корреляции. Изучите документацию на форумах о том, как ее написать.