home *** CD-ROM | disk | FTP | other *** search

---

/ PC World 2007 November / PCWorld_2007-11_cd.bin / zabezpeceni / microworld / mwav.exe / [0] / global.daz / global.dat

Wrap

Text File  |  2007-02-05  |  54KB  |  4,241 lines

---

1. YOU_CAN_SEARCH
2. YOU CAN SEARCH FOR ANYONE
3. body
4. /you can search for anyone/i
5.  
6. 1
7. 0.0
8. 1
9. -3
10.  
11. RATWARE_OE_MALFORMED
12. X-Mailer has malformed Outlook Express version
13. header
14. /^Microsoft Outlook Express \d(?:\.\d+){3} \w+$/
15. X-Mailer
16. 1
17. 3.000
18. 1
19.  
20.  
21. WHY_PAY_MORE
22. Why Pay More?
23. body
24. /\bwhy pay more\b/i
25.  
26. 1
27. 0
28. 1
29.  
30.  
31. WHILE_YOU_SLEEP
32. While you Sleep
33. body
34. /\bwhile you sleep\b/i
35.  
36. 1
37. 0.463
38. 1
39.  
40.  
41. WHY_WAIT
42. What are you waiting for
43. body
44. /\b(?:why wait|what are you waiting for)\b/i
45.  
46. 1
47. 0.356
48. 1
49.  
50.  
51. WEIRD_QUOTING
52. Weird repeated double-quotation marks
53. body
54. /[\042\223\224\262\263\271]{2}\S{0,16}[\042\223\224\262\263\271]{2}/
55.  
56. 1
57. 1.341
58. 1
59.  
60.  
61. UNDISC_RECIPS
62. Valid-looking To "undisclosed-recipients"
63. header
64. /^undisclosed-recipients?:\s*;$/
65. To
66. 1
67. 0.000
68. 1
69.  
70.  
71. HTTP_CTRL_CHARS_HOST
72. Uses control sequences inside a URL hostname
73. uri
74. /^https?\:\/\/[^\/\s]*[\x00-\x08\x0b\x0c\x0e-\x1f]/
75.  
76. 1
77. 1.480
78. 1
79.  
80.  
81. __ADDR_NUMS_AT_BIGSITE
82. Uses an address with lots of numbers, at a big ISP
83. header
84. /<?\S{0,20}\d{5,}\S{0,20}\@(?:bigfoot|email|excite|hotmail|juno|msn|yahoo)\.(?:com|net|org)/mi
85. ALL
86. 1
87. 0
88. 1
89.  
90.  
91. NUMERIC_HTTP_ADDR
92. Uses a numeric IP address in URL
93. uri
94. /^https?\:\/\/\d{7}/is
95.  
96. 1
97. 0.472
98. 1
99.  
100.  
101. NORMAL_HTTP_TO_IP
102. Uses a dotted-decimal IP address in URL
103. uri
104. m{^https?://\d+\.\d+\.\d+\.\d+}i
105.  
106. 1
107. 0.160
108. 1
109.  
110.  
111. HTTP_ESCAPED_HOST
112. Uses %-escapes inside a URL's hostname
113. uri
114. /^https?\:\/\/[^\/\s]*%[0-9a-fA-F][0-9a-fA-F]/
115.  
116. 1
117. 0.124
118. 1
119.  
120.  
121. REMOVE_PAGE
122. URL of page called "remove"
123. uri
124. /^https?:\/\/[^\/]+\/.*?remove/
125.  
126. 1
127. 0
128. 1
129.  
130.  
131. USERPASS
132. URL contains username and (optional) password
133. uri
134. m{^https?://[^/\s]*?(?::[^/\s]+?)?\@}
135.  
136. 1
137. 0.825
138. 1
139.  
140.  
141. HTTP_ENTITIES_HOST
142. URI obscured with character entities
143. uri
144. m{https?://[^\s\">/]*\&\#[\da-f]+}i
145.  
146.  
147. 1.059
148. 1
149.  
150.  
151. TO_ADDRESS_EQ_REAL
152. To: repeats address as real name
153. header
154. /^\s*"([^"@]+\@[^"@]+)"\s+<\1>\s*$/i
155. To
156. 1
157. 0
158. 1
159.  
160.  
161. TO_INVESTORS
162. To: non-existent 'Investors' address
163. header
164. /\bInvestors\@/
165. To
166. 1
167. 0
168. 1
169.  
170.  
171. TO_EMPTY
172. To: is empty
173. header
174. /^\s*$/
175. To
176. 1
177. 0.115
178. 1
179.  
180.  
181. TO_NO_USER
182. To: has no local-part before @ sign
183. header
184. /(?:^\@|<\@| \@[^\)<]*$|<>)/
185. To
186. 1
187. 0
188. 1
189.  
190.  
191. TO_MALFORMED
192. To: has a malformed address
193. header
194. /(?:^|[^\S"])(?:(?:\"[^\"]+\"|\S+)\@\S+\.\S+|^\s*.+:\s*;|^\s*\"[^\"]+\":\s*;|^\s*\([^\)]*\)\s*$|<\S+(?:\!\S+){1,}>|^\s*$)/
195. To
196. 0
197. 0
198. 1
199.  
200.  
201. TO_RECIP_MARKER
202. To header contains 'recipient' marker
203. header
204. /\#recipient\#/
205. To
206. 1
207. 1.033
208. 1
209.  
210.  
211. SUBJ_GUARANTEED
212. Subject GUARANTEED
213. header
214. /^guaranteed|(?-i:GUARANTEE)/i
215. Subject
216. 1
217. 1.360
218. 1
219.  
220.  
221. SUBJ_HAS_SPACES
222. Subject contains lots of white space
223. header
224. /(?:\s{6}|\t\s|\s\t)\S/
225. Subject
226. 1
227. 0.870
228. 1
229.  
230.  
231. JAPANESE_UCE_SUBJECT
232. Subject contains a Japanese UCE tag
233. header
234. /\e\$B.*(?:L\$>5Bz|EE;R%a!<%k)9-9p/
235. Subject
236. 1
237. 1.280
238. 1
239.  
240.  
241. SUBJ_YOUR_OWN
242. Subject contains "Your Own"
243. header
244. /Your Own/i
245. Subject
246. 1
247. 0.811
248. 1
249.  
250.  
251. SUBJ_YOUR_FAMILY
252. Subject contains "Your Family"
253. header
254. /Your Family/i
255. Subject
256. 1
257. 0.338
258. 1
259.  
260.  
261. SUBJ_YOUR_DEBT
262. Subject contains "Your Bills" or similar
263. header
264. /Your (?:Bills|Debt|Credit)/i
265. Subject
266. 1
267. 0.557
268. 1
269.  
270.  
271. SUBJ_FOR_ONLY
272. Subject contains "For Only"
273. header
274. /For Only/i
275. Subject
276. 1
277. 0.316
278. 1
279.  
280.  
281. SUBJ_AS_SEEN
282. Subject contains "As Seen"
283. header
284. /\bAs Seen/i
285. Subject
286. 1
287. 1.515
288. 1
289.  
290.  
291. FORWARD_LOOKING
292. Stock Disclaimer Statement
293. body
294. /\bcontains forward-looking statements\b/i
295.  
296.  
297. 1.048
298. 1
299.  
300.  
301. MIME_BOUND_RKFINDY
302. Spam tool pattern in MIME boundary (rfkindy)
303. header
304. /boundary=\"=_NextPart_2rfkindysadvnqw3nerasdf\"/
305. Content-Type
306. 1
307. 2.160
308. 1
309.  
310.  
311. MIME_BOUND_MANY_HEX
312. Spam tool pattern in MIME boundary
313. header
314. /boundary="[\da-f]{8}(?:-[\da-f]{4}){3}-[\da-f]{12}"/
315. Content-Type
316. 1
317. 2.144
318. 1
319.  
320.  
321. MSGID_SPAM_ZEROES
322. Spam tool Message-Id: (12-zeroes variant)
323. header
324. /<0000[0-9a-f]{8}\$0000[0-9a-f]{4}\$0000[0-9a-f]{4}\@/
325. MESSAGEID
326. 1
327. 1.222
328. 1
329.  
330.  
331. ALL_NATURAL
332. Spam is 100% natural?!
333. body
334. /\b(?:100%|completely|totally|all) natural/i
335.  
336.  
337. 0.357
338. 1
339.  
340.  
341. X_PRIORITY_HIGH
342. Sent with 'X-Priority' set to high
343. header
344. /^1/
345. X-Priority
346. 1
347. 0.122
348. 1
349.  
350.  
351. TO_TXT
352. Sent to a text file
353. header
354. /\.txt[\'\"]?\@/i
355. To
356. 1
357. 1.360
358. 1
359.  
360.  
361. MICRO_CAP_WARNING
362. SEC-mandated penny-stock warning
363. body
364. /Investing in micro-cap securities is highly speculative/i
365.  
366. 1
367. 1.200
368. 1
369.  
370.  
371. SAVE_THOUSANDS
372. Save big money
373. body
374. /\bsave (?:thousands|millions)\b/i
375.  
376.  
377. 0.398
378. 1
379.  
380.  
381. REVERSE_AGING
382. Reverses Aging
383. body
384. /\breverses? aging\b/i
385.  
386. 1
387. 1.520
388. 1
389.  
390.  
391. REPLY_TO_EMPTY
392. Reply-To: is empty
393. header
394. /^\s*$/
395. Reply-To
396. 1
397. 0.449
398. 1
399.  
400.  
401. WRINKLES
402. Removes Wrinkles
403. body
404. /\bwrinkle reduction\b/i
405.  
406. 1
407. 1.360
408. 1
409.  
410.  
411. NO_OBLIGATION
412. There is no obligation
413. body
414. /no obligation/i
415.  
416.  
417. 0.303
418. 1
419.  
420.  
421. STRONG_BUY
422. Tells you about a strong buy
423. body
424. /strong buy/i
425.  
426.  
427. 2.080
428. 1
429.  
430.  
431. OPT_OUT
432. Talks about opting out (lowercase version)
433. body
434. /\bopt-out\b/
435.  
436. 1
437. 0.823
438. 1
439.  
440.  
441. BANG_OPRAH
442. Talks about Oprah with an exclamation!
443. body
444. /\boprah!/i
445.  
446. 1
447. 0.366
448. 1
449.  
450.  
451. BANG_MORE
452. Talks about more with an exclamation!
453. body
454. /\b(?-i:M)ore!/i
455.  
456.  
457. 0.106
458. 1
459.  
460.  
461. MILLION_USD
462. Talks about millions of dollars
463. body
464. /Million\b.{0,40}\b(?:United States? Dollars?|USD)/i
465.  
466.  
467. 1.606
468. 1
469.  
470.  
471. EXCUSE_REMOVE
472. Talks about how to be removed from mailings
473. body
474. /to be removed from.{0,20}(?:mailings|offers)/i
475.  
476.  
477. 0.110
478. 1
479.  
480.  
481. HIDDEN_CHARGES
482. Talks about Hidden Charges
483. body
484. /\bhidden charges\b/i
485.  
486. 1
487. 0.611
488. 1
489.  
490.  
491. BANG_EXERCISE
492. Talks about exercise with an exclamation!
493. body
494. /\bexercis(?:e|er|es)!/i
495.  
496.  
497. 0.537
498. 1
499.  
500.  
501. ACT_NOW_CAPS
502. Talks about 'acting now' with capitals
503. body
504. /A(?i:ct) N(?i:ow)/
505.  
506.  
507. 0.120
508. 1
509.  
510.  
511. NA_DOLLARS
512. Talks about a million North American dollars
513. body
514. /\b(?:\d{1,3})?Million\b.{0,40}\b(?:Canadian Dollar?s?|US\$|U\.? ?S\.? Dollar)/i
515.  
516. 1
517. 0.609
518. 1
519.  
520.  
521. GAPPY_SUBJECT
522. Subject: contains G.a.p.p.y-T.e.x.t
523. header
524. /\b(?:[a-z]([-_. =~\/:,*!\@\#\$\%\^&+;\"\'<>\\])\1{0,2}){4}/i
525. Subject
526. 1
527. 1.600
528. 1
529.  
530.  
531. SUBJ_DOLLARS
532. Subject starts with dollar amount
533. header
534. /^\$[0-9.,]+\b/
535. Subject
536. 1
537. 0.301
538. 1
539.  
540.  
541. SUBJ_BUY
542. 'Subject' starts with Buy, Buying
543. header
544. /^buy/i
545. Subject
546. 1
547. 0.116
548. 1
549.  
550.  
551. SUB_HELLO
552. Subject starts with "Hello"
553. header
554. /^hello\b/i
555. Subject
556. 1
557. 1.760
558. 1
559.  
560.  
561. SUB_FREE_OFFER
562. Subject starts with "Free"
563. header
564. /^fre{2,}\b/i
565. Subject
566. 1
567. 0.286
568. 1
569.  
570.  
571. SUBJ_LIFE_INSURANCE
572. Subject includes "life insurance"
573. header
574. /life\s+insurance/i
575. Subject
576. 1
577. 1.520
578. 1
579.  
580.  
581. PLING_QUERY
582. Subject has exclamation mark and question mark
583. header
584. /\?.*!|!.*\?/
585. Subject
586. 1
587. 0.326
588. 1
589.  
590.  
591. RCVD_NUMERIC_HELO
592. Received: contains a numeric HELO
593. header
594. eval:check_for_numeric_helo()
595. Received
596. 1
597. 1.253
598. 1
599.  
600.  
601. JOIN_MILLIONS
602. Join Millions of Americans
603. body
604. /\bjoin (?:millions|thousands)\b/i
605.  
606.  
607. 0.178
608. 1
609.  
610.  
611. CHINA_HEADER
612. Involves 'china.com'
613. header
614. /\@china\.com/i
615. ALL
616. 1
617. 1.440
618. 1
619.  
620.  
621. INVALID_DATE_TZ_ABSURD
622. Invalid Date: header (timezone does not exist)
623. header
624. /[-+](?:1[4-9]\d\d|[2-9]\d\d\d)$/
625. Date
626. 1
627. 1.346
628. 1
629.  
630.  
631. INVALID_DATE
632. Invalid Date: header (not RFC 2822)
633. header
634. /^\s*(?:(?i:Mon|Tue|Wed|Thu|Fri|Sat|Sun),\s+)?[0-3\s]?[0-9]\s+(?i:Jan|Feb|Ma[ry]|Apr|Ju[nl]|Aug|Sep|Oct|Nov|Dec)\s+(?:[12][901])?[0-9]{2}\s+[0-2]?[0-9](?:\:[0-5][0-9]){1,2}\s+(?:[AP]M\s+)?(?:[+-][0-9]{4}|UT|[A-Z]{2,3}T)(?:\s+\(.*\))?\s*$/ [if-unset: Wed, 31 Jul 2002 16:41:57 +0200]
635. Date
636. 0
637. 1.700
638. 1
639.  
640.  
641. WITH_LC_SMTP
642. Received line contains spam-sign (lowercase smtp)
643. header
644. /\swith\ssmtp;\s/
645. Received
646. 1
647. 1.440
648. 1
649.  
650.  
651. RCVD_AM_PM
652. Received headers forged (AM/PM)
653. header
654. /; [A-Z][a-z][a-z], \d{1,2} \d{4} \d{1,2}:\d\d:\d\d [AP]M [+-]\d{4}/
655. Received
656. 1
657. 1.662
658. 1
659.  
660.  
661. RCVD_FAKE_HELO_DOTCOM
662. Received contains a faked HELO hostname
663. header
664. /^from (?:msn|yahoo|yourwebsite|lycos|excite|cs|aol|localhost|koreanmail|allexecs|mydomain|juno|eudoramail|compuserve|desertmail|excite|caramail)\.com \(/m
665. Received
666. 1
667. 1.652
668. 1
669.  
670.  
671. RECEIVE_OFFER
672. Receive a special offer
673. body
674. /receive special offer/i
675.  
676.  
677. 0.172
678. 1
679.  
680.  
681. PREST_NON_ACCREDITED
682. 'Prestigious Non-Accredited Universities'
683. body
684. /prestigi?ous\b.{0,20}\bnon-accredited\b.{0,20}\buniversities/i
685.  
686.  
687. 1.280000
688. 1
689.  
690.  
691. PORN_15
692. Possible porn - various types of feline
693. body
694. /(?=[celstwvy])(?:college|eating|licking|spears|tight|wet|shaved|voyeur|young|teen(?:age)?).{0,16}pussy/i
695.  
696.  
697. 0.451000
698. 1
699.  
700.  
701. PORN_16
702. Possible porn - nasty, dirty, little etc.
703. body
704. /\b(?:nasty|teen|dir(?:ty|iest)?|little).{0,16}\bsluts?/i
705.  
706.  
707. 1.309000
708. 1
709.  
710.  
711. NASTY_GIRLS
712. Possible porn - Nasty Girls
713. body
714. /\b(?:horniest|nasty|nastiest|hottest|wildest|slutty|xxx+)\b.{0,9}\b(?:girl|women|teen|babe)/i
715.  
716.  
717. 0.339000
718. 1
719.  
720.  
721. LIVE_PORN
722. Possible porn - Live Porn
723. body
724. /\blive .{0,9}(?:fuck(?:ing)?|sex|naked|girls?|virgins?|teens?|porno?)\b/i
725.  
726.  
727. 0.332000
728. 1
729.  
730.  
731. HARDCORE_PORN
732. Possible porn - Hardcore Porn
733. body
734. /\bh[a\@]rd[ -]?core .{0,9}(?:teen|virgin|cheerleader|amat(?:eu|ue)r)|\bextreme h[a\@]rdcore/i
735.  
736.  
737. 1.440000
738. 1
739.  
740.  
741. FREE_PORN
742. Possible porn - Free Porn
743. body
744. /\bfree (?:porn|xxx|adult)/i
745.  
746.  
747. 0.143000
748. 1
749.  
750.  
751. CUM_SHOT
752. Possible porn - Cum Shot
753. body
754. /\bcum[ -]?shots?\b/i
755.  
756.  
757. 2.095000
758. 1
759.  
760.  
761. AMATEUR_PORN
762. Possible porn - Amateur Porn
763. body
764. /\bamateur .{0,9}(?:sex|porn|star|sites?|college|babes|action|pics|trash|gang|rape)|\b(?:real|best) amateur/i
765.  
766.  
767. 1.473000
768. 1
769.  
770.  
771. UNCLAIMED_MONEY
772. People just leave money laying around
773. body
774. /\bunclaimed (?:funds|money|prizes?|rewards?)\b/i
775.  
776.  
777. 1.920000
778. 1
779.  
780.  
781. ONLINE_PHARMACY
782. Online Pharmacy
783. body
784. /\bonline pharmacy|\b(?:drugs|medications) online/i
785.  
786.  
787. 3.145000
788. 1
789.  
790.  
791. ONE_TIME
792. One Time Rip Off
793. body
794. /\bone\W+time (?:charge|investment|offer|promotion)/i
795.  
796.  
797. 1.138000
798. 1
799.  
800.  
801. GUARANTEED_100_PERCENT
802. One hundred percent guaranteed
803. body
804. /100% GUARANTEED/i
805.  
806.  
807. 0.810000
808. 1
809.  
810.  
811. EXTRA_CASH
812. Offers Extra Cash
813. body
814. /\bextra cash\b/i
815.  
816.  
817. 0.172000
818. 1
819.  
820.  
821. FULL_REFUND
822. Offers a full refund
823. body
824. /full refund|refunds? your money in full/i
825.  
826. 1
827. 0.490000
828. 1
829.  
830.  
831. OFFSHORE_SCAM
832. Off Shore Scams
833. body
834. /\boffshore\b.{0,20}(?:credit card|companies|account|financ|websites?)/i
835.  
836.  
837. 0.147000
838. 1
839.  
840.  
841. NOT_ADVISOR
842. Not registered investment advisor
843. body
844. /not a registered investment advisor/i
845.  
846.  
847. 2.160000
848. 1
849.  
850.  
851. EXCUSE_12
852. Nobody's perfect
853. body
854. /this (?:e?-?mail|message) (?:(?:has )?reached|was sent to) you in error/i
855.  
856.  
857. 1.131000
858. 1
859.  
860.  
861. NO_COST
862. No such thing as a free lunch (3)
863. body
864. /\bno (?:cost|charge)\b/i
865.  
866.  
867. 0.565000
868. 1
869.  
870.  
871. NO_MEDICAL
872. No Medical Exams
873. body
874. /\bno medical exam/i
875.  
876. 1
877. 1.200000
878. 1
879.  
880.  
881. NO_FORMS
882. No Claim Forms
883. body
884. /\bno .{0,9}forms\b/i
885.  
886. 1
887. 0.501000
888. 1
889.  
890.  
891. MONEY_BACK
892. Money back guarantee
893. body
894. /money back guarantee/i
895.  
896.  
897. 0.645000
898. 1
899.  
900.  
901. MSGID_NO_HOST
902. Message-Id has no hostname
903. header
904. /\@>(?:$|\s)/m
905. MESSAGEID
906. 1
907. 0.129000
908. 1
909.  
910.  
911. URI_4YOU
912. Message has URI 4you
913. uri
914. m@^(?:https?://|mailto:)[^\/]*4you@i
915.  
916.  
917. 0.135000
918. 1
919.  
920.  
921. URI_OFFERS
922. Message has link to company offers
923. uri
924. m/offer([sz]|-\S+)?\.(?:com|bi?z)/i
925.  
926.  
927. 0.133000
928. 1
929.  
930.  
931. US_DOLLARS_3
932. Mentions millions of $ ($NN,NNN,NNN.NN)
933. body
934. /(?:\$|usd).?\d{1,3}[,.]\d{3}[,.]\d{3}(?:[,.]\d\d)?/i
935.  
936.  
937. 0.152000
938. 1
939.  
940.  
941. MEET_SINGLES
942. Meet Singles
943. body
944. /\bmeet .{0,12}singles|thousands of personal/i
945.  
946.  
947. 0.370000
948. 1
949.  
950.  
951. MAILTO_SUBJ_REMOVE
952. mailto URI includes removal text
953. rawbody
954. /mailto:.{0,64}\@.{0,64}\?subject=(?:\"|3D)*(?:remove?|delete|please.?(?:delete|remove|unsubscribe)|abuse|off\b|stop|take.?me.?off)/i
955.  
956.  
957. 0.100000
958. 1
959.  
960.  
961. MORTGAGE_PITCH
962. Looks like mortgage pitch
963. body
964. /mortgage (?:rates?|quotes?|approv(?:al|ed)|payment|interest|loans?|app(?:\b|lication))/i
965.  
966.  
967. 0.151000
968. 1
969.  
970.  
971. TRACKER_ID
972. Incorporates a tracking ID number
973. body
974. /^[a-z0-9]{6,24}[-_a-z0-9]{12,36}[a-z0-9]{6,24}\s*\z/is
975.  
976.  
977. 1.032000
978. 1
979.  
980.  
981. MAILTO_TO_REMOVE
982. Includes a 'remove' email address
983. uri
984. /^mailto:.*?remove/is
985.  
986.  
987. 0.383000
988. 1
989.  
990.  
991. MAILTO_TO_SPAM_ADDR
992. Includes a link to a likely spammer email
993. uri
994. /^mailto:[a-z]+\d{2,}\@/is
995.  
996.  
997. 0.276000
998. 1
999.  
1000.  
1001. BARGAIN_URL
1002. Includes a link to a likely spammer domain
1003. uri
1004. /bargain([sz]|-\S+)?\.(?:com|biz)/
1005.  
1006.  
1007. 0.463000
1008. 1
1009.  
1010.  
1011. IMPOTENCE
1012. Impotence cure
1013. body
1014. /\b(?:impotence (?:problem|cure|solution)|Premature Ejaculation|erectile dysfunction)/i
1015.  
1016. 1
1017. 0.592000
1018. 1
1019.  
1020.  
1021. REFINANCE_NOW
1022. Home refinancing
1023. body
1024. /time to refinance|refinanc\w{1,3}\b.{0,16}\bnow\b/i
1025.  
1026.  
1027. 0.872000
1028. 1
1029.  
1030.  
1031. REFINANCE_YOUR_HOME
1032. Home refinancing
1033. body
1034. /\brefinance your(?: current)? (?:home|house)\b/i
1035.  
1036. 1
1037. 0.302000
1038. 1
1039.  
1040.  
1041. EXTRA_MPART_TYPE
1042. Header has extraneous Content-type:...type= entry
1043. header
1044. /(?:\s*multipart\/)?.* type=/i
1045. Content-Type
1046. 1
1047. 0.733000
1048. 1
1049.  
1050.  
1051. GET_PAID
1052. Get Paid
1053. body
1054. /\bget (?-i:P)aid\b/i
1055.  
1056.  
1057. 0.204000
1058. 1
1059.  
1060.  
1061. FRONTPAGE
1062. Frontpage used to create the message
1063. rawbody
1064. /FrontPage.Editor/
1065.  
1066.  
1067. 0.809000
1068. 1
1069.  
1070.  
1071. FROM_STARTS_WITH_NUMS
1072. From: starts with nums
1073. header
1074. /^\d{6,}\S+\@/i
1075. From
1076. 1
1077. 0.283000
1078. 1
1079.  
1080.  
1081. FROM_ENDS_IN_NUMS
1082. From: ends in numbers
1083. header
1084. /\D\d{8,}\@/i
1085. From
1086. 1
1087. 1.880000
1088. 1
1089.  
1090.  
1091. NO_REAL_NAME
1092. From: does not include a real name
1093. header
1094. /^["\s]*\<?\S+\@\S+\>?\s*$/
1095. From
1096. 1
1097. 0.550000
1098. 1
1099.  
1100.  
1101. FROM_HAS_MIXED_NUMS
1102. From: contains numbers mixed in with letters
1103. header
1104. /^[a-z]+\d+[a-z]+\d+[a-z]+\w*\@/i
1105. From
1106. 1
1107. 1.510000
1108. 1
1109.  
1110.  
1111. FROM_NO_LOWER
1112. 'From' has no lower-case characters
1113. header
1114. /[a-z]/
1115. From
1116. 0
1117. 0.141000
1118. 1
1119.  
1120.  
1121. FROM_OFFERS
1122. From address is "at something-offers"
1123. header
1124. /\@\S*offers(?![eo]n\b)/i
1125. From:addr
1126. 1
1127. 1.641000
1128. 1
1129.  
1130.  
1131. ADDR_FREE
1132. From Address contains FREE
1133. header
1134. /\b(?-i:F)ree(?-i:[ A-Z]).*</i
1135. From
1136. 1
1137. 0.205000
1138. 1
1139.  
1140.  
1141. FREE_PREVIEW
1142. Free Preview
1143. body
1144. /\bfree preview\b/i
1145.  
1146.  
1147. 1.409000
1148. 1
1149.  
1150.  
1151. FREE_QUOTE_INSTANT
1152. Free express or no-obligation quote
1153. body
1154. /free.{0,12}(?:(?:instant|express|online|no.?obligation).{0,4})+.{0,32}\bquote/i
1155.  
1156.  
1157. 1.178000
1158. 1
1159.  
1160.  
1161. BAD_CREDIT
1162. Eliminate Bad Credit
1163. body
1164. /\b(?:bad|poor|no\b|eliminate|repair|(?:re)?establish|damag).{0,10} (?:credit|debt)\b/i
1165.  
1166.  
1167. 0.129000
1168. 1
1169.  
1170.  
1171. DOMAIN_4U2
1172. Domain name containing a "4u" variant
1173. body
1174. /[\@\.]\S{0,20}(?:[^0-9][42](?:yo)?u|for-*you)(?:[.-]\S{1,20})?\.(?:net|com|org|info)\b/
1175.  
1176.  
1177. 1.429000
1178. 1
1179.  
1180.  
1181. SOME_BREAKTHROUGH
1182. Describes some sort of breakthrough
1183. body
1184. /\b(?:science|medical|major|scientific|fundamental|technology|revolutionary)\s+breakthrough/i
1185.  
1186. 1
1187. 1.049000
1188. 1
1189.  
1190.  
1191. DEAR_FRIEND
1192. Dear Friend? That's not very dear!
1193. body
1194. /^\s*Dear Friend\b/i
1195.  
1196.  
1197. 0.811000
1198. 1
1199.  
1200.  
1201. DATE_SPAMWARE_Y2K
1202. Date header uses unusual Y2K formatting
1203. header
1204. /^[A-Z][a-z]{2}, \d\d [A-Z][a-z]{2} [0-6]\d \d\d:\d\d:\d\d [A-Z]{3}$/
1205. Date
1206. 1
1207. 0.745000
1208. 1
1209.  
1210.  
1211. HAIR_LOSS
1212. Cures Baldness
1213. body
1214. /\b(?=[gnrt])(?:thinn?ing|restore|grow|new) hair|\bhair loss/i
1215.  
1216.  
1217. 0.102000
1218. 1
1219.  
1220.  
1221. FREE_SAMPLE
1222. Contains 'free sample' with capitals
1223. body
1224. /(?-i:F)ree sample/i
1225.  
1226.  
1227. 0.231000
1228. 1
1229.  
1230.  
1231. FREE_ACCESS
1232. Contains 'free access' with capitals
1233. body
1234. /(?-i:F)ree access/i
1235.  
1236.  
1237. 0.156000
1238. 1
1239.  
1240.  
1241. FORGED_TELESP_RCVD
1242. Contains forged hostname for a DSL IP in Brazil
1243. header
1244. /\.(?!br).. \(\d+-\d+-\d+-\d+\.dsl\.telesp\.net\.br /
1245. Received
1246. 1
1247. 1.280000
1248. 1
1249.  
1250.  
1251. EARN_PER_WEEK
1252. Contains 'earn $something per week'
1253. body
1254. /\b(?:earn|make).{1,20}\d\d\d+.{1,30}(?:per week|per month|weekly|monthly)/i
1255.  
1256. 1
1257. 1.055000
1258. 1
1259.  
1260.  
1261. DEAR_SOMETHING
1262. Contains 'Dear (something)'
1263. body
1264. /\bDear (?:IT\W|Internet|candidate|sirs?|madam|investor|travell?er|car shopper|web)\b/i
1265.  
1266. 1
1267. 1.605000
1268. 1
1269.  
1270.  
1271. CONSOLIDATE_DEBT
1272. Consolidate debt, credit, or bills
1273. body
1274. /(?:consolidate .{0,9} (?:debt|credit|bills)|debt[ -]?(?:consolidation|elimination))/i
1275.  
1276.  
1277. 0.119000
1278. 1
1279.  
1280.  
1281. HTTP_EXCESSIVE_ESCAPES
1282. Completely unnecessary %-escapes inside a URL
1283. uri
1284. /^https?:\/\/\S*%(?:3\d|[46][1-9a-f]|[57][\da])/i
1285.  
1286.  
1287. 1.145000
1288. 1
1289.  
1290.  
1291. COMPETE
1292. Compete for your business
1293. body
1294. /\bcompete for your business\b/i
1295.  
1296.  
1297. 1.330000
1298. 1
1299.  
1300.  
1301. EXCUSE_24
1302. Claims you wanted this ad
1303. body
1304. /you(?:'ve|'re| have| are)? receiv(?:e|ed|ing) this (?:advertisement|offer|special|recurring|paid).{0,16}\b(?:by either|because)/i
1305.  
1306.  
1307. 1.440000
1308. 1
1309.  
1310.  
1311. MARKETING_PARTNERS
1312. Claims you registered with a partner
1313. body
1314. /\b(?:marketing|network) partner|\bpartner (?:web)?site/i
1315.  
1316.  
1317. 1.435000
1318. 1
1319.  
1320.  
1321. EXCUSE_23
1322. Claims you have provided permission
1323. body
1324. /you have provided permission/i
1325.  
1326.  
1327. 1.280000
1328. 1
1329.  
1330.  
1331. EXCUSE_4
1332. Claims you can be removed from the list
1333. body
1334. /To Be Removed,? Please/i
1335.  
1336.  
1337. 0.697000
1338. 1
1339.  
1340.  
1341. EXCUSE_6
1342. Claims you can be removed from the list
1343. body
1344. /\b(?:wish to|click to) remove yourself/i
1345.  
1346.  
1347. 1.680000
1348. 1
1349.  
1350.  
1351. WE_HONOR_ALL
1352. Claims to honor removal requests
1353. body
1354. /\b(?:honou?r|respect)(?: all)? remov(?:e|al) requests?\b/i
1355.  
1356.  
1357. 1.169000
1358. 1
1359.  
1360.  
1361. SENT_IN_COMPLIANCE
1362. Claims compliance with spam regulations
1363. body
1364. /(?:e.?mail|message) .{0,10}sen[dt] (?:to you )?in (?:\w{1,10} )?compliance (?:of|with)/i
1365.  
1366.  
1367. 0.508000
1368. 1
1369.  
1370.  
1371. NONEXISTENT_CHARSET
1372. Character set doesn't exist
1373. header
1374. /charset=.?DEFAULT/
1375. Content-Type
1376. 1
1377. 1.280000
1378. 1
1379.  
1380.  
1381. RATWARE_JPFREE
1382. Bulk email fingerprint (jpfree) found
1383. header
1384. /jpfree Group Mail Express/
1385. X-Mailer
1386. 1
1387. 1.200000
1388. 1
1389.  
1390.  
1391. RATWARE_RCVD_LC_ESMTP
1392. Bulk email fingerprint ('esmtp' Received) found
1393. header
1394. /^from (?:(?:unknown|\d+\.\d+\.\d+\.\d+) \(\S+\)|\[\d+\.\d+\.\d+\.\d+\]) by \S+ with (?:esmtp|local|smtp); /m
1395. Received
1396. 1
1397. 1.416000
1398. 1
1399.  
1400.  
1401. RATWARE_EGROUPS
1402. Bulk email fingerprint (eGroups) found
1403. header
1404. /eGroups Message Poster/
1405. X-Mailer
1406. 1
1407. 3.052000
1408. 1
1409.  
1410.  
1411. EMAIL_ROT13
1412. Body contains a ROT13-encoded email address
1413. body
1414. /\b[a-z(\]-]+\^[a-z-]+\([a-z]{2,3}\b/
1415.  
1416.  
1417. 1.600000
1418. 1
1419.  
1420.  
1421. BE_BOSS
1422. Be your own boss
1423. body
1424. /\byour own boss\b/i
1425.  
1426.  
1427. 1.268000
1428. 1
1429.  
1430.  
1431. DISGUISE_PORN
1432. Attempts to disguise porn words
1433. body
1434. /\b(?:c[*0]cks?|d[1*]cks?|h[0*]rny|b[1*]tch(?:es)|f[*0]ckk?ed|p[*]ssy|p[*]ssies)\b/i
1435.  
1436.  
1437. 0.110000
1438. 1
1439.  
1440.  
1441. AMAZING_STUFF
1442. Amazing Stuff
1443. body
1444. /\bamazing (?:product|rates)/i
1445.  
1446.  
1447. 0.733000
1448. 1
1449.  
1450.  
1451. EXCUSE_10
1452. "if you do not wish to receive any more"
1453. body
1454. /if you (?:(?:want|wish|care|prefer) not to |do ?n[o']t (?:want|wish|care) to )(?:be contacted again|receive (?:any ?)?(?:more|future|further)\b.{1,10}\b(?:e?-?mail|message|offer|solicitation)s?|be included)/i
1455.  
1456.  
1457. 0.341000
1458. 1
1459.  
1460.  
1461. HELO_DYNAMIC_HCC
1462. RELAY HELO'D USING SUSPICIOUS HOSTNAME (HCC) ->HELO_DYNAMIC_HCC
1463. header
1464. /^\S*\d+[^\d\s]+\d+\S*\.(?:docsis|cable|dsl|adsl|dhcp|cpe)\./i
1465. X-MS-MailSender
1466. 1
1467. 4.100000
1468. 1
1469.  
1470.  
1471. HELO_DYNAMIC_IPADDR
1472. RELAY HELO'D USING SUSPICIOUS HOSTNAME (IP ADDR 1) ->HELO_DYNAMIC_IPADDR
1473. header
1474. /^[a-z]\S*\d+[^\d\s]\d+[^\d\s]\d+[^\d\s]\d+[^\d\s][^\.]*\.\S+\.\S+/i
1475. X-MS-MailSender
1476. 1
1477. 1.250000
1478. 1
1479. -3
1480.  
1481. RCVD_HELO_IP_MISMATCH
1482. Received: HELO and IP do not match, but should ->RCVD_HELO_IP_MISMATCH
1483. header
1484. eval:helo_ip_mismatch()
1485. Received
1486. 1
1487. 4.000000
1488. 1
1489.  
1490.  
1491. MIME_BAD_ISO_CHARSET
1492. MIME character set is an unknown ISO charset ->MIME_BAD_ISO_CHARSET
1493. body
1494. eval:check_for_mime('mime_bad_iso_charset')
1495.  
1496. 1
1497. 4.185000
1498. 1
1499.  
1500.  
1501. SUBJ_ILLEGAL_CHARS
1502. Subject: has too many raw illegal characters ->SUBJ_ILLEGAL_CHARS
1503. header
1504. eval:check_illegal_chars('Subject','0.00','2')
1505. Subject
1506. 1
1507. 4.279000
1508. 1
1509.  
1510.  
1511. X_MESSAGE_INFO
1512. Bulk email fingerprint (X-Message-Info) found ->X_MESSAGE_INFO
1513. body
1514. exists:X-Message-Info
1515.  
1516. 1
1517. 4.400000
1518. 1
1519.  
1520.  
1521. BAD_ENC_HEADER
1522. Message has bad MIME encoding in the header ->BAD_ENC_HEADER
1523. header
1524. /=\?[^?\s]+\?[^?\s]\?\s*[^?]+\s(?!\?=)/
1525. ALL
1526. 1
1527. 3.100000
1528. 1
1529.  
1530.  
1531. FAKE_OUTBLAZE_RCVD
1532. Received header contains faked 'mr.outblaze.com' ->FAKE_OUTBLAZE_RCVD
1533. header
1534. /\.mr\.outblaze\.com/
1535. Received
1536. 1
1537. 3.100000
1538. 1
1539.  
1540.  
1541. FROM_ILLEGAL_CHARS
1542. From: has too many raw illegal characters ->FROM_ILLEGAL_CHARS
1543. header
1544. eval:check_illegal_chars('From','0.20','2')
1545. From
1546. 1
1547. 4.100000
1548. 1
1549.  
1550.  
1551. FUZZY_ERECT
1552. ATTEMPT TO OBFUSCATE WORDS IN SPAM ->FUZZY_ERECT
1553. body
1554. /<inter W2><post P3>(?!erection)<E><R><E><C><T><I><O><N>/i
1555.  
1556. 1
1557. 3.400000
1558. 1
1559. -3
1560.  
1561. FUZZY_GUARANTEE
1562. Attempt to obfuscate words in spam ->FUZZY_GUARANTEE
1563. body
1564. /<inter W1><post P2>(?!guarantee)<G><U><A><R><A><N><T><E><E>/i
1565.  
1566. 1
1567. 3.658000
1568. 1
1569.  
1570.  
1571. FUZZY_MEDICATION
1572. Attempt to obfuscate words in spam ->FUZZY_MEDICATION
1573. body
1574. /<inter W1><post P2>(?!medication)<M><E><D><I><C><A><T><I><O><N>/i
1575.  
1576. 1
1577. 3.400000
1578. 1
1579.  
1580.  
1581. FUZZY_MILLION
1582. Attempt to obfuscate words in spam ->FUZZY_MILLION
1583. body
1584. /(?!million)<M><I><L><L><I><O><N>/i
1585.  
1586. 1
1587. 3.600000
1588. 1
1589.  
1590.  
1591. FUZZY_MORTGAGE
1592. Attempt to obfuscate words in spam ->FUZZY_MORTGAGE
1593. body
1594. /<inter W1><post P2>(?!mortgage)<M><O><R><T><G><A><G><E>/i
1595.  
1596. 1
1597. 3.655000
1598. 1
1599.  
1600.  
1601. FUZZY_OBLIGATION
1602. Attempt to obfuscate words in spam ->FUZZY_OBLIGATION
1603. body
1604. /<inter W1><post P2>(?!obligation)<O><B><L><I><G><A><T><I><O><N>/i
1605.  
1606. 1
1607. 3.272000
1608. 1
1609.  
1610.  
1611. FUZZY_PHARMACY
1612. Attempt to obfuscate words in spam ->FUZZY_PHARMACY
1613. body
1614. /<inter W2><post P2>(?!pharmacy)<P><H><A><R><M><A><C><Y>/i
1615.  
1616. 1
1617. 3.200000
1618. 1
1619.  
1620.  
1621. FUZZY_PLEASE
1622. Attempt to obfuscate words in spam ->FUZZY_PLEASE
1623. body
1624. /(?!please)<P><L><E><A><S><E>/i
1625.  
1626. 1
1627. 3.466000
1628. 1
1629.  
1630.  
1631. FUZZY_PRESCRIPT
1632. Attempt to obfuscate words in spam ->FUZZY_PRESCRIPT
1633. body
1634. /<inter W2><post P2>(?!prescription)<P><R><E><S><C><R><I><P><T><I><O><N>/i
1635.  
1636. 1
1637. 3.600000
1638. 1
1639.  
1640.  
1641. FUZZY_PRICES
1642. Attempt to obfuscate words in spam ->FUZZY_PRICES
1643. body
1644. /<inter W2><post P2>(?!price)<P><R><I><C><E><S>/i
1645.  
1646. 1
1647. 3.200000
1648. 1
1649.  
1650.  
1651. FUZZY_XPILL
1652. Attempt to obfuscate words in spam ->FUZZY_XPILL
1653. body
1654. /<inter W3><post P2>(?!xanax)<X><A><N><A><X>/i
1655.  
1656. 1
1657. 3.337000
1658. 1
1659.  
1660.  
1661. HEADER_SPAM
1662. Bulk email fingerprint (header-based) found ->HEADER_SPAM
1663. header
1664. /^(Alternate-Recipient|Antivirus|Approved|Delivery-Notification|Disclose-Recipients|Error-path|Language|Location|Mime-Subversion|Newsletter-ID|PID|Rot|UID|X-BounceTrace|X-CS-IP|X-Company-Address|X-Company-City|X-Company-Country|X-Company-State|X-Company-Zip|X-E(?:[Mm]ail)?|X-Encoding|X-Originating-Company|X-RMD-Text|X-SG4|X-SP-Track-ID|X-Webmail-Time|X-bounce-to):/m
1665. ALL
1666. 1
1667. 3.789000
1668. 1
1669.  
1670.  
1671. HELO_DYNAMIC_COMCAST
1672. RELAY HELO'D USING SUSPICIOUS HOSTNAME (COMCAST) ->HELO_DYNAMIC_COMCAST
1673. header
1674. /^[a-z-]+\d+[a-z]{3}\.[a-z0-9]+\...\.comcast/i
1675. X-MS-MailSender
1676. 1
1677. 3.500000
1678. 1
1679. -3
1680.  
1681. HELO_DYNAMIC_DHCP
1682. Relay HELO'd using suspicious hostname (DHCP) ->HELO_DYNAMIC_DHCP
1683. header
1684. /^\S*(?:cm|catv|docsis|cable|dsl|dhcp|cpe|node)\S*\d+[^\d\s]+\d+/i
1685. X-MS-MailSender
1686. 1
1687. 3.792000
1688. 1
1689.  
1690.  
1691. HELO_DYNAMIC_IPADDR2
1692. RELAY HELO'D USING SUSPICIOUS HOSTNAME (IP ADDR 2) ->HELO_DYNAMIC_IPADDR2
1693. header
1694. /^\d+[^\d\s]\d+[^\d\s]\d+[^\d\s]\d+[^\d\s][^\.]*\.\S+\.\S+/i
1695. X-MS-MailSender
1696. 1
1697. 1.250000
1698. 1
1699. -3
1700.  
1701. HELO_DYNAMIC_SPLIT_IP
1702. RELAY HELO'D USING SUSPICIOUS HOSTNAME (SPLIT IP) ->HELO_DYNAMIC_SPLIT_IP
1703. header
1704. /^\d+\.\S+\d+[^\d\s]\d+[^\d\s]\d+[^\d\s]/
1705. X-MS-MailSender
1706. 1
1707. 1.250000
1708. 1
1709. -3
1710.  
1711. HTML_EHTML2
1712. HTML has doubled end HTML tag ->HTML_EHTML2
1713. rawbody
1714. m'</html></html>'i
1715.  
1716. 1
1717. 3.052000
1718. 1
1719.  
1720.  
1721. HTML_EXTRA_CLOSE
1722. HTML contains far too many close tags ->HTML_EXTRA_CLOSE
1723. body
1724. eval:html_range('closed_extra_ratio', '0.09', 'inf')
1725.  
1726. 1
1727. 3.600000
1728. 1
1729.  
1730.  
1731. HTML_IMAGE_ONLY_04
1732. HTML_IMAGE_ONLY - not much raw HTML with images (absolute) ->HTML_IMAGE_ONLY_04
1733. body
1734. eval:html_image_only('0000','0400')
1735.  
1736. 1
1737. 3.600000
1738. 1
1739.  
1740.  
1741. HTML_IMAGE_ONLY_08
1742. # HTML_IMAGE_ONLY - not much raw HTML with images (absolute) ->HTML_IMAGE_ONLY_08
1743. body
1744. eval:html_image_only('0400','0800')
1745.  
1746. 1
1747. 3.469000
1748. 1
1749.  
1750.  
1751. HTML_OBFUSCATE_20_30
1752. HTML OBFUSCATION ->HTML_OBFUSCATE_20_30
1753. body
1754. eval:html_range('obfuscation_ratio','.2','.3')
1755.  
1756. 1
1757. 3.400000
1758. 1
1759. -3
1760.  
1761. HTML_TINY_FONT
1762. body contains 1 or 0-point font ->HTML_TINY_FONT
1763. body
1764. /\<.*font\-size\:[ \"]*[01][^0-9]+.*\>/i
1765.  
1766. 1
1767. 3.393000
1768. 1
1769.  
1770.  
1771. INVALID_TZ_EST
1772. Invalid date in header (wrong EST timezone) ->INVALID_TZ_EST
1773. header
1774. /[+-]\d\d[30]0(?<!-0500|-0300|\+1000|\+1100)\s+(?:\bEST\b|\(EST\))/
1775. ALL
1776. 1
1777. 3.145000
1778. 1
1779.  
1780.  
1781. INVESTMENT_ADVICE
1782. MESSAGE MENTIONS INVESTMENT ADVICE ->INVESTMENT_ADVICE
1783. body
1784. /\binvestment advice/i
1785.  
1786. 1
1787. 3.700000
1788. 1
1789. -3
1790.  
1791. INVESTMENT_EXPERT
1792. Message mentions investment expert ->INVESTMENT_EXPERT
1793. body
1794. /\binvestment expert/i
1795.  
1796. 1
1797. 3.300000
1798. 1
1799.  
1800.  
1801. KOREAN_UCE_SUBJECT
1802. Subject: contains Korean unsolicited email tag
1803. header
1804. /[({[<][. ]*(?:\xbc\xba[. ]*\xc0\xce[. ]*)?(?:\xb1\xa4(?:[. ]*|[\x00-\x7f]{0,3})\xb0\xed|\xc1\xa4[. ]*\xba\xb8|\xc8\xab[. ]*\xba\xb8)[. ]*[)}\]>]/
1805. Subject
1806. 1
1807. 3.100000
1808. 1
1809.  
1810.  
1811. MALE_ENHANCE
1812. Message talks about enhancing men ->MALE_ENHANCE
1813. body
1814. /male enhancement/i
1815.  
1816. 1
1817. 3.100000
1818. 1
1819.  
1820.  
1821. __ISO_2022_JP_DELIM
1822.  
1823. body
1824. /\e\$B/
1825.  
1826. 1
1827. 0.0
1828. 1
1829.  
1830.  
1831. __HG_HORMONE
1832.  
1833. body
1834. /\b(?:human growth hormone|(?-i:HGH)|H.G.H)\b/i
1835.  
1836. 1
1837. 0.0
1838. 1
1839.  
1840.  
1841. HG_HORMONE
1842. Talks about hormones for human growth
1843. meta
1844. (!__ISO_2022_JP_DELIM && __HG_HORMONE)
1845.  
1846. 1
1847. 1.472000
1848. 1
1849.  
1850.  
1851. __MANY_EXCLS
1852.  
1853. header
1854. /![^!]+!/
1855. Subject
1856. 1
1857. 0.0
1858. 1
1859.  
1860.  
1861. MANY_EXCLAMATIONS
1862. Subject has many exclamations
1863. meta
1864. (!__ISO_2022_JP_DELIM && __MANY_EXCLS)
1865.  
1866. 1
1867. 0.659000
1868. 1
1869.  
1870.  
1871. __PLING_PLING
1872.  
1873. header
1874. /!!!/
1875. Subject
1876. 1
1877. 0.0
1878. 1
1879.  
1880.  
1881. PLING_PLING
1882. Subject has lots of exclamation marks
1883. meta
1884. (!__ISO_2022_JP_DELIM && __PLING_PLING)
1885.  
1886.  
1887. 0.343000
1888. 1
1889.  
1890.  
1891. __NEXTPART_ALL
1892.  
1893. header
1894. /NextPart/
1895. Content-Type
1896. 1
1897. 0.0
1898. 1
1899.  
1900.  
1901. __NEXTPART_NORMAL
1902.  
1903. header
1904. /="(?:----_?=_)?NextPart_[\dA-F]{3}(_[\dA-F]{3,8})?_[\dA-F]{8}\.[\dA-F]{8}"/
1905. Content-Type
1906. 1
1907. 0.0
1908. 1
1909.  
1910.  
1911. MIME_BOUND_NEXTPART
1912. Spam tool pattern in MIME boundary
1913. meta
1914. (__NEXTPART_ALL && !__NEXTPART_NORMAL)
1915.  
1916.  
1917. 0.224000
1918. 1
1919.  
1920.  
1921. FORGED_AOL_RCVD
1922. Received forged, contains fake AOL relays
1923. header
1924. eval:check_for_fake_aol_relay_in_rcvd()
1925. Received
1926. 1
1927. 0.0
1928. 1
1929.  
1930.  
1931. FORGED_HOTMAIL_RCVD
1932. Forged hotmail.com 'Received:' header found
1933. header
1934. eval:check_for_forged_hotmail_received_headers()
1935. Received
1936. 1
1937. 2.152
1938. 1
1939.  
1940.  
1941. FORGED_EUDORAMAIL_RCVD
1942. Forged eudoramail.com 'Received:' header found
1943. header
1944. eval:check_for_forged_eudoramail_received_headers()
1945. Received
1946. 1
1947. 0.528
1948. 1
1949.  
1950.  
1951. FORGED_YAHOO_RCVD
1952. 'From' yahoo.com does not match 'Received' headers
1953. header
1954. eval:check_for_forged_yahoo_received_headers()
1955. Received
1956. 1
1957. 0.928
1958. 1
1959.  
1960.  
1961. FORGED_JUNO_RCVD
1962. 'From' juno.com does not match 'Received' headers
1963. header
1964. eval:check_for_forged_juno_received_headers()
1965. Received
1966. 1
1967. 1.478
1968. 1
1969.  
1970.  
1971. FORGED_GW05_RCVD
1972. Forged 'by gw05' 'Received:' header found
1973. header
1974. eval:check_for_forged_gw05_received_headers()
1975. Received
1976. 1
1977. 0.0
1978. 1
1979.  
1980.  
1981. MULTI_FORGED
1982. Received headers indicate multiple forgeries
1983. meta
1984. ((FORGED_AOL_RCVD + FORGED_HOTMAIL_RCVD + FORGED_EUDORAMAIL_RCVD + FORGED_YAHOO_RCVD + FORGED_JUNO_RCVD + FORGED_GW05_RCVD) > 1)
1985.  
1986.  
1987. 1.031000
1988. 1
1989.  
1990.  
1991. __ANY_QUALCOMM_MUA
1992.  
1993. header
1994. /\bQUALCOMM\b/
1995. X-Mailer
1996. 1
1997. 0.0
1998. 1
1999.  
2000.  
2001. __MIME_HTML
2002.  
2003. body
2004. eval:check_for_mime_html()
2005.  
2006. 1
2007. 0.0
2008. 1
2009.  
2010.  
2011. __TAG_EXISTS_HTML
2012.  
2013. body
2014. eval:html_tag_exists('html')
2015.  
2016. 1
2017. 0.0
2018. 1
2019.  
2020.  
2021. FORGED_QUALCOMM_TAGS
2022. QUALCOMM mailers can't send HTML in this format
2023. meta
2024. (__ANY_QUALCOMM_MUA && __MIME_HTML && !__TAG_EXISTS_HTML)
2025.  
2026.  
2027. 1.783000
2028. 1
2029.  
2030.  
2031. MIME_CHARSET_FARAWAY
2032. MIME character set indicates foreign language
2033. meta
2034. (__MIME_CHARSET_FARAWAY && __HIGHBITS)
2035.  
2036.  
2037. 2.450000
2038. 1
2039.  
2040.  
2041. __MSGID_BEFORE_RECEIVED
2042.  
2043. header
2044. /\nMessage-Id:.*\nReceived:/si
2045. ALL
2046. 1
2047. 0.0
2048. 1
2049.  
2050.  
2051. __MSGID_BEFORE_OKAY
2052.  
2053. header
2054. /\@[a-z0-9.-]+\.(?:yahoo|wanadoo)(?:\.[a-z]{2,3}){1,2}>/
2055. Message-Id
2056. 1
2057. 0.0
2058. 1
2059.  
2060.  
2061. MSGID_FROM_MTA_HEADER
2062. Message-Id was added by a relay
2063. meta
2064. (__MSGID_BEFORE_RECEIVED && !__MSGID_BEFORE_OKAY)
2065.  
2066.  
2067. 0.274000
2068. 1
2069.  
2070.  
2071. __HAS_MSGID
2072.  
2073. header
2074. /\S/
2075. MESSAGEID
2076. 1
2077. 0.0
2078. 1
2079.  
2080.  
2081. __SANE_MSGID
2082.  
2083. header
2084. /^<[^<>\\ \t\n\r\x0b\x80-\xff]+\@[^<>\\ \t\n\r\x0b\x80-\xff]+>\s*$/m
2085. MESSAGEID
2086. 1
2087. 0.0
2088. 1
2089.  
2090.  
2091. __MSGID_COMMENT
2092.  
2093. header
2094. /\(.*\)/m
2095. MESSAGEID
2096. 1
2097. 0.0
2098. 1
2099.  
2100.  
2101. INVALID_MSGID
2102. Message-Id is not valid, according to RFC 2822
2103. meta
2104. (__HAS_MSGID && !(__SANE_MSGID || __MSGID_COMMENT))
2105.  
2106.  
2107. 1.705
2108. 1
2109.  
2110.  
2111. __HAS_MSMAIL_PRI
2112.  
2113. header
2114. exists:X-MSMail-Priority
2115.  
2116. 1
2117. 0.0
2118. 1
2119.  
2120.  
2121. __HAS_MIMEOLE
2122.  
2123. header
2124. exists:X-MimeOLE
2125.  
2126. 1
2127. 0.0
2128. 1
2129.  
2130.  
2131. __HAS_SQUIRRELMAIL_IN_MAILER
2132.  
2133. header
2134. /SquirrelMail\b/
2135. X-Mailer
2136. 1
2137. 0.0
2138. 1
2139.  
2140.  
2141. MISSING_MIMEOLE
2142. Message has X-MSMail-Priority, but no X-MimeOLE
2143. meta
2144. (__HAS_MSMAIL_PRI && !__HAS_MIMEOLE && !__HAS_SQUIRRELMAIL_IN_MAILER)
2145.  
2146.  
2147. 1.394
2148. 1
2149.  
2150.  
2151. __UPPERCASE_75_100
2152.  
2153. body
2154. eval:check_for_uppercase('75', '100')
2155.  
2156. 1
2157. 0.0
2158. 1
2159.  
2160.  
2161. UPPERCASE_75_100
2162. message body is 75-100% uppercase
2163. meta
2164. (!__ISO_2022_JP_DELIM && __UPPERCASE_75_100)
2165.  
2166.  
2167. 0.809
2168. 1
2169.  
2170.  
2171. __UPPERCASE_50_75
2172.  
2173. body
2174. eval:check_for_uppercase('50', '75')
2175.  
2176. 1
2177. 0.0
2178. 1
2179.  
2180.  
2181. UPPERCASE_50_75
2182. message body is 50-75% uppercase
2183. meta
2184. (!__ISO_2022_JP_DELIM && __UPPERCASE_50_75)
2185.  
2186.  
2187. 0.206
2188. 1
2189.  
2190.  
2191. __CTYPE_CHARSET_QUOTED
2192.  
2193. header
2194. /charset=\"/i
2195. Content-Type
2196. 1
2197. 0.0
2198. 1
2199.  
2200.  
2201. FORGED_MUA_THEBAT_CS
2202. Mail pretending to be from The Bat! (charset)
2203. meta
2204. (__THEBAT_MUA && __CTYPE_CHARSET_QUOTED)
2205.  
2206.  
2207. 1.760
2208. 1
2209.  
2210.  
2211. MIME_HTML_ONLY
2212. Message only has text/html MIME parts
2213. body
2214. eval:check_for_mime_html_only()
2215.  
2216.  
2217. 0.0
2218. 1
2219.  
2220.  
2221. HTML_MIME_NO_HTML_TAG
2222. HTML-only message, but there is no HTML tag
2223. meta
2224. (MIME_HTML_ONLY && !__TAG_EXISTS_HTML)
2225.  
2226.  
2227. 0.512
2228. 1
2229.  
2230.  
2231. __OBFUSCATING_COMMENT_A
2232.  
2233. rawbody
2234. /\w(?:<![^>]*>)+\w/
2235.  
2236. 1
2237. 0.0
2238. 1
2239.  
2240.  
2241. HTML_MESSAGE
2242. HTML included in message
2243. body
2244. eval:html_test('html')
2245.  
2246. 1
2247. 0.0
2248. 1
2249.  
2250.  
2251. __OBFUSCATING_COMMENT_B
2252.  
2253. rawbody
2254. /[^\s>](?:<![^>]*>)+[^\s<]/
2255.  
2256. 1
2257. 0.0
2258. 1
2259.  
2260.  
2261. OBFUSCATING_COMMENT
2262. HTML comments which obfuscate text
2263. meta
2264. ((__OBFUSCATING_COMMENT_A && HTML_MESSAGE) || (__OBFUSCATING_COMMENT_B && MIME_HTML_ONLY))
2265.  
2266.  
2267. 0.806
2268. 1
2269.  
2270.  
2271. FROM_ALL_NUMS
2272. don't match US/Canada phone numbers: 10 digits optionally preceded by a "1"
2273. header
2274. /^(?:\d{1,9}|[02-9]\d{10}|\d{12,})@/
2275. From
2276. 1
2277. 1.920
2278. 1
2279.  
2280.  
2281. __ANY_AOL_MUA
2282.  
2283. header
2284. /^AOL\b/
2285. X-Mailer
2286. 1
2287. 0.0
2288. 1
2289.  
2290.  
2291. FORGED_AOL_TAGS
2292. AOL mailers can't send HTML in this format
2293. meta
2294. (__ANY_AOL_MUA && __MIME_HTML && !__TAG_EXISTS_HTML)
2295.  
2296.  
2297. 0.281
2298. 0
2299.  
2300.  
2301. __HTML_CHARSET_FARAWAY
2302.  
2303. body
2304. eval:html_charset_faraway()
2305.  
2306. 1
2307. 0.0
2308. 1
2309.  
2310.  
2311. __HIGHBITS
2312.  
2313. body
2314. /(?:[\x80-\xff].?){4,}/
2315.  
2316. 1
2317. 0.0
2318. 1
2319.  
2320.  
2321. HTML_CHARSET_FARAWAY
2322. A foreign language charset used in HTML markup
2323. meta
2324. (__HTML_CHARSET_FARAWAY && __HIGHBITS)
2325.  
2326.  
2327. 0.500000
2328. 1
2329.  
2330.  
2331. __DOUBLE_IP_SPAM_1
2332. two reliable signatures ->__DOUBLE_IP_SPAM_1
2333. header
2334. /from \[\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\] by \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3} with/
2335. Received
2336. 1
2337. 0.000
2338. 1
2339. -3
2340.  
2341. __DOUBLE_IP_SPAM_2
2342. two reliable signatures ->__DOUBLE_IP_SPAM_2
2343. header
2344. /from\s+\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}\s+by\s+\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3};/
2345. Received
2346. 1
2347. 0.000
2348. 1
2349.  
2350.  
2351. RCVD_DOUBLE_IP_SPAM
2352. Bulk email fingerprint (double IP) found ->RCVD_DOUBLE_IP_SPAM
2353. meta
2354. (__DOUBLE_IP_SPAM_1 || __DOUBLE_IP_SPAM_2)
2355.  
2356. 1
2357. 4.070
2358. 1
2359.  
2360.  
2361. __RATWARE_0_TZ_DATE
2362. __ratware_0_tz_date
2363. header
2364. / \+0000$/
2365. Date
2366. 1
2367. 0.000
2368. 1
2369.  
2370.  
2371. __RATWARE_NAME_ID
2372. __ratware_name_id
2373. header
2374. eval:check_ratware_name_id()
2375. ALL
2376. 1
2377. 0.000
2378. 1
2379.  
2380.  
2381. RATWARE_NAME_ID
2382. Bulk email fingerprint (msgid from) found ->RATWARE_NAME_ID
2383. meta
2384. (__RATWARE_0_TZ_DATE && __RATWARE_NAME_ID)
2385.  
2386. 1
2387. 4.100
2388. 1
2389.  
2390.  
2391. __AT_EXCITE_MSGID
2392. __at_excite_msgid
2393. header
2394. /\@excite\.com\b/i
2395. message-id
2396. 1
2397. 0.000
2398. 1
2399.  
2400.  
2401. __MY_RCVD_EXCITE
2402. __my_rcvd_excite
2403. header
2404. /\.excite\.com\b/i
2405. Received
2406. 1
2407. 0.000
2408. 1
2409.  
2410.  
2411. FORGED_MSGID_EXCITE
2412. Message-ID is forged, (excite.com) ->FORGED_MSGID_EXCITE
2413. meta
2414. (__AT_EXCITE_MSGID && !__MY_RCVD_EXCITE)
2415.  
2416. 1
2417. 3.000
2418. 1
2419.  
2420.  
2421. __AT_YAHOO_MSGID
2422. __at_yahoo_msgid
2423. header
2424. /\@yahoo\.com\b/i
2425. message-id
2426. 1
2427. 0.000
2428. 1
2429.  
2430.  
2431. __FROM_YAHOO_COM
2432. __from_yahoo_com
2433. header
2434. /\@yahoo\.com\b/i
2435. From
2436. 1
2437. 0.000
2438. 1
2439.  
2440.  
2441. FORGED_MSGID_YAHOO
2442. Message-ID is forged, (yahoo.com) ->FORGED_MSGID_YAHOO
2443. meta
2444. (__AT_YAHOO_MSGID && !__FROM_YAHOO_COM)
2445.  
2446. 1
2447. 3.712
2448. 1
2449.  
2450.  
2451. __LONGWORDS_A
2452. __longwords_a
2453. body
2454. /\b(?:[a-z]{8,}[\s\.]+){6}/
2455.  
2456. 1
2457. 0.000
2458. 1
2459.  
2460.  
2461. __LONGWORDS_B
2462. __longwords_b
2463. body
2464. /\b(?:[a-z]{6,}[\s\.]+){9}/
2465.  
2466. 1
2467. 0.000
2468. 1
2469.  
2470.  
2471. __LONGWORDS_C
2472. __longwords_c
2473. body
2474. /\b(?:[a-z]{5,}[\s\.]+){10}/
2475.  
2476. 1
2477. 0.000
2478. 1
2479.  
2480.  
2481. LONGWORDS
2482. Long string of long words ->LONGWORDS
2483. meta
2484. (__LONGWORDS_A + __LONGWORDS_B + __LONGWORDS_C > 1)
2485.  
2486. 1
2487. 3.789
2488. 1
2489.  
2490.  
2491. __DRUGS_PAIN4
2492. __drugs_pain4
2493. body
2494. /(?:\b|\s)[_\W]{0,3}(?:\\\/|V)[_\W]{0,3}[i1!|l\xEC-\xEF][_\W]{0,3}c[_\W]{0,3}[o0\xF2-\xF6][_\W]{0,3}d[_\W]{0,3}[i1!|l\xEC-\xEF][_\W]{0,3}ns?[_\W]{0,3}(?:\b|\s)/i
2495.  
2496. 1
2497. 0.000
2498. 1
2499.  
2500.  
2501. __DRUGS_PAIN_VICO
2502. __drugs_pain_vico
2503. body
2504. /vicodin/i
2505.  
2506. 1
2507. 0.000
2508. 1
2509.  
2510.  
2511. __DRUGS_PAIN10
2512. __drugs_pain10
2513. body
2514. /(?:\b|\s)[_\W]{0,3}(?:\\\/|V)[_\W]{0,3}[i1!|l\xEC-\xEF][_\W]{0,3}[o0\xF2-\xF6][_\W]{0,3}x[_\W]{0,3}xx?_{0,3}\b/i
2515.  
2516. 1
2517. 0.000
2518. 1
2519.  
2520.  
2521. __DRUGS_PAIN_VIOXX
2522. __drugs_pain_vioxx
2523. body
2524. /vioxx/i
2525.  
2526. 1
2527. 0.000
2528. 1
2529.  
2530.  
2531. __DRUGS_PAIN7
2532. __drugs_pain7
2533. body
2534. /\b_{0,3}f[_\W]?[i1!|l\xEC-\xEF][_\W]?[o0\xF2-\xF6][_\W]?r[_\W]?[i1!|l\xEC-\xEF][_\W]?c[_\W]?[e3\xE8-\xEB][_\W]?[t7]_{0,3}\b/i
2535.  
2536. 1
2537. 0.000
2538. 1
2539.  
2540.  
2541. __DRUGS_PAIN_FIO
2542. __drugs_pain_fio
2543. body
2544. /fioricet/i
2545.  
2546. 1
2547. 0.000
2548. 1
2549.  
2550.  
2551. DRUGS_PAIN_OBFU
2552. Obfuscated reference to a pain relief drug ->DRUGS_PAIN_OBFU
2553. meta
2554. (( __DRUGS_PAIN4 &&! __DRUGS_PAIN_VICO) || ( __DRUGS_PAIN10 &&!__DRUGS_PAIN_VIOXX) || ( __DRUGS_PAIN7 &&!__DRUGS_PAIN_FIO))
2555.  
2556. 1
2557. 3.700
2558. 1
2559.  
2560.  
2561. __FRAUD_KJV
2562. __FRAUD_KJV
2563. body
2564. /(?:claim|concerning) (?:the|this) money/i
2565.  
2566. 1
2567. 0.000
2568. 1
2569. -3
2570.  
2571. __UNUSABLE_MSGID
2572. "message ID is either too old or has been rewritten by a gateway". ->__UNUSABLE_MSGID
2573. header
2574. eval:check_messageid_not_usable()
2575. message-ID
2576. 1
2577. 0.000
2578. 1
2579.  
2580.  
2581. __HAS_OUTLOOK_IN_MAILER
2582. __has_outlook_in_mailer
2583. header
2584. /\bMSCRM\b|Microsoft (?:CDO|Outlook|Office Outlook)\b/
2585. X-Mailer
2586. 1
2587. 0.000
2588. 1
2589.  
2590.  
2591. __FRAUD_IRJ
2592. company/firm/storage house
2593. body
2594. /(?:finance|holding|securit(?:ies|y)) (?:company|firm|storage house)/i
2595.  
2596. 1
2597. 0.000
2598. 1
2599.  
2600.  
2601. __FRAUD_NEB
2602. government/bank of nigeria
2603. body
2604. /(?:government|bank) of nigeria/i
2605.  
2606. 1
2607. 0.000
2608. 1
2609.  
2610.  
2611. __FRAUD_XJR
2612. honest/you being a/to any foreigner
2613. body
2614. /(?:who was a|as a|an? honest|you being a|to any) foreigner/i
2615.  
2616. 1
2617. 0.000
2618. 1
2619.  
2620.  
2621. __FRAUD_EZY
2622. late president
2623. body
2624. /\b(?:of|the) late president\b/i
2625.  
2626. 1
2627. 0.000
2628. 1
2629.  
2630.  
2631. __FRAUD_ZFJ
2632. (wife|son|brother|daughter) of the late
2633. body
2634. /\b(?:wife|son|brother|daughter) of the late\b/i
2635.  
2636. 1
2637. 0.000
2638. 1
2639.  
2640.  
2641. __FRAUD_KDT
2642. millions
2643. body
2644. /\bU\.?S\.?(?:D\.?)?\s*(?:\$\s*)?(?:\d+,\d+,\d+|\d+\.\d+\.\d+|\d+(?:\.\d+)?\s*milli?on)/i
2645.  
2646. 1
2647. 0.000
2648. 1
2649.  
2650.  
2651. __FRAUD_BGP
2652. attached to ticket number
2653. body
2654. /\battached to ticket number\b/i
2655.  
2656. 1
2657. 0.000
2658. 1
2659.  
2660.  
2661. __FRAUD_FBI
2662. disburs
2663. body
2664. /\bdisburs/i
2665.  
2666. 1
2667. 0.000
2668. 1
2669.  
2670.  
2671. __FRAUD_JBU
2672. foreign account
2673. body
2674. /\bforeign account\b/i
2675.  
2676. 1
2677. 0.000
2678. 1
2679.  
2680.  
2681. __FRAUD_JYG
2682. give/s you fund/money/total/sum/contact/percent
2683. body
2684. /\bgive\s+you .{0,15}(?:fund|money|total|sum|contact|percent)\b/i
2685.  
2686. 1
2687. 0.000
2688. 1
2689.  
2690.  
2691. __FRAUD_XVW
2692. honest cooperation
2693. body
2694. /\bhonest cooperation\b/i
2695.  
2696. 1
2697. 0.000
2698. 1
2699.  
2700.  
2701. __FRAUD_SNT
2702. locate relative
2703. body
2704. /\blocate(?: .{1,20})? extended relative/i
2705.  
2706. 1
2707. 0.000
2708. 1
2709.  
2710.  
2711. __FRAUD_LTX
2712. million united states dollars
2713. body
2714. /\bmilli?on (?:.{1,25} thousand\s*)?(?:(?:united states|u\.?s\.?) dollars|(?i:U\.?S\.?D?))\b/i
2715.  
2716. 1
2717. 0.000
2718. 1
2719.  
2720.  
2721. __FRAUD_MCQ
2722. transaction magnitude/diplomatic/strict/absolute/secret/confiden/guarantee
2723. body
2724. /\btransaction\b.{1,30}\b(?:magnitude|diplomatic|strict|absolute|secret|confiden(?:tial|ce)|guarantee)/i
2725.  
2726. 1
2727. 0.000
2728. 1
2729.  
2730.  
2731. __FRAUD_PVN
2732. as the beneficiary
2733. body
2734. /as the beneficiary/i
2735.  
2736. 1
2737. 0.000
2738. 1
2739.  
2740.  
2741. __FRAUD_FVU
2742. award notification
2743. body
2744. /award notification/i
2745.  
2746. 1
2747. 0.000
2748. 1
2749.  
2750.  
2751. __FRAUD_CKF
2752. computer ballot system
2753. body
2754. /computer ballot system/i
2755.  
2756. 1
2757. 0.000
2758. 1
2759.  
2760.  
2761. __FRAUD_FCW
2762. fiduciary agent
2763. body
2764. /fiduciary agent/i
2765.  
2766. 1
2767. 0.000
2768. 1
2769.  
2770.  
2771. __FRAUD_MQO
2772. foreign business partner/customer
2773. body
2774. /foreign (?:business partner|customer)/i
2775.  
2776. 1
2777. 0.000
2778. 1
2779.  
2780.  
2781. __FRAUD_TCC
2782. foreign bank/account
2783. body
2784. /foreign (?:offshore )?(?:bank|account)/i
2785.  
2786. 1
2787. 0.000
2788. 1
2789.  
2790.  
2791. __FRAUD_GBW
2792. god gives second chance
2793. body
2794. /god gives .{1,10}second chance/i
2795.  
2796. 1
2797. 0.000
2798. 1
2799.  
2800.  
2801. __FRAUD_NRG
2802. i am contacting you
2803. body
2804. /i am contacting you/i
2805.  
2806. 1
2807. 0.000
2808. 1
2809.  
2810.  
2811. __FRAUD_RLX
2812. lottory coordinator/international
2813. body
2814. /lott(?:o|ery) (?:co,?ordinator|international)/i
2815.  
2816. 1
2817. 0.000
2818. 1
2819.  
2820.  
2821. __FRAUD_AXF
2822. magnanimity
2823. body
2824. /magnanimity/i
2825.  
2826. 1
2827. 0.000
2828. 1
2829.  
2830.  
2831. __FRAUD_THJ
2832. modalit(?:y|ies)
2833. body
2834. /modalit(?:y|ies)/i
2835.  
2836. 1
2837. 0.000
2838. 1
2839.  
2840.  
2841. __FRAUD_YQV
2842. nigerian? (?:national|government)
2843. body
2844. /nigerian? (?:national|government)/i
2845.  
2846. 1
2847. 0.000
2848. 1
2849.  
2850.  
2851. __FRAUD_YJA
2852. over-invoice
2853. body
2854. /over-invoice/i
2855.  
2856. 1
2857. 0.000
2858. 1
2859.  
2860.  
2861. __FRAUD_YPO
2862. the total sum
2863. body
2864. /the total sum/i
2865.  
2866. 1
2867. 0.000
2868. 1
2869.  
2870.  
2871. __FRAUD_UOQ
2872. vital documents
2873. body
2874. /vital documents/i
2875.  
2876. 1
2877. 0.000
2878. 1
2879.  
2880.  
2881. __FRAUD_DBI
2882. dollars usd dollars
2883. body
2884. /(?:\bdollars?\b|\busd(?:ollars)?(?:[0-9]|\b)|\bus\$|\$[0-9,.]{6,}|\$[0-9].{0,8}[mb]illion|\$[0-9.,]{2,10} ?m|\beuros?\b|u[.]?s[.]? [0-9.]+ m)/i
2885.  
2886. 1
2887. 0.000
2888. 1
2889.  
2890.  
2891. __FRAUD_BEP
2892. bank of nigeria/central bank of/trust bank/apex bank/amalgamated bank
2893. body
2894. /\b(?:bank of nigeria|central bank of|trust bank|apex bank|amalgamated bank)\b/i
2895.  
2896. 1
2897. 0.000
2898. 1
2899.  
2900.  
2901. __FRAUD_DPR
2902. respond/reply urgently/immediately
2903. body
2904. /\b(?:(?:respond|reply) (?:urgently|immediately)|(?:urgent|immediate|earliest) (?:reply|response))\b/i
2905.  
2906. 1
2907. 0.000
2908. 1
2909.  
2910.  
2911. __FRAUD_QXX
2912. my name is/i am engr/barrister/dr/prince
2913. body
2914. /\b(?:my name is|i am) (?:mrs?|engr|barrister|dr|prince(?:ss)?)[. ]/i
2915.  
2916. 1
2917. 0.000
2918. 1
2919.  
2920.  
2921. __FRAUD_QFY
2922. over sing
2923. body
2924. /\bover-? *(?:invoiced?|cost(?:s|ing)?)\b/i
2925.  
2926. 1
2927. 0.000
2928. 1
2929.  
2930.  
2931. __FRAUD_PTS
2932. assassination
2933. body
2934. /\b(?:ass?ass?inat(?:ed|ion)|murder(?:e?d)?|kill(?:ed|ing)\b[^.]{0,99}\b(?:war veterans|rebels?))\b/i
2935.  
2936. 1
2937. 0.000
2938. 1
2939.  
2940.  
2941. __FRAUD_TDP
2942. business partner/s
2943. body
2944. /\b(?:business partner(?:s|ship)?|silent partner(?:s|ship)?)\b/i
2945.  
2946. 1
2947. 0.000
2948. 1
2949.  
2950.  
2951. __FRAUD_GAN
2952. charles taylor
2953. body
2954. /\b(?:charles taylor|serena|abacha|gu[eüΘüΦ]i|sese[- ]?seko|kabila)\b/i
2955.  
2956. 1
2957. 0.000
2958. 1
2959.  
2960.  
2961. __FRAUD_IPK
2962. visit your country
2963. body
2964. /\b(?:in|to|visit) your country\b/i
2965.  
2966. 1
2967. 0.000
2968. 1
2969.  
2970.  
2971. __FRAUD_AON
2972. confidential/private/alternate
2973. body
2974. /\b(?:confidential|private|alternate|alternative) (?:(?:e-? *)?mail)\b/i
2975.  
2976. 1
2977. 0.000
2978. 1
2979.  
2980.  
2981. __FRAUD_WNY
2982. disbursement
2983. body
2984. /\b(?:disburse?(?:ment)?|incurr?(?:ed)?|remunerr?at(?:ed?|ion)|remm?itt?(?:ed|ance|ing)?)\b/i
2985.  
2986. 1
2987. 0.000
2988. 1
2989.  
2990.  
2991. __FRAUD_AUM
2992. the desk of
2993. body
2994. /\bthe desk of\b/i
2995.  
2996. 1
2997. 0.000
2998. 1
2999.  
3000.  
3001. __FRAUD_WFC
3002. secure funds/monies
3003. body
3004. /\bsecur(?:e|ing) (?:the )?(?:funds?|monies)\b/i
3005.  
3006. 1
3007. 0.000
3008. 1
3009.  
3010.  
3011. __FRAUD_YWW
3012. furnish you with
3013. body
3014. /\bfurnish you with\b/i
3015.  
3016. 1
3017. 0.000
3018. 1
3019.  
3020.  
3021. __FRAUD_ULK
3022. affidavits
3023. body
3024. /\baffidavits?\b/i
3025.  
3026. 1
3027. 0.000
3028. 1
3029.  
3030.  
3031. __FRAUD_IOU
3032. no risks
3033. body
3034. /\b(?:no risks?|risk-? *free|free of risks?|100% safe)\b/i
3035.  
3036. 1
3037. 0.000
3038. 1
3039.  
3040.  
3041. __FRAUD_JNB
3042. operating for accounts
3043. body
3044. /\boperat(?:e|ing)\b[^.]{0,99}\b(?:for(?:ei|ie)gn|off-? ?shore|over-? ?seas?) (?:bank )?accounts?\b/i
3045.  
3046. 1
3047. 0.000
3048. 1
3049.  
3050.  
3051. __FRAUD_IRT
3052. compliments of the/dear friend
3053. body
3054. /\b(?:compliments? of the|dear friend|dear sir|yours faithfully|season'?s greetings)\b/i
3055.  
3056. 1
3057. 0.000
3058. 1
3059.  
3060.  
3061. __FRAUD_ETX
3062. your contact
3063. body
3064. /\byour\b[^.]{0,99}\b(?:contact (?:details|information)|private (?:e?[- ]?mail|telephone|tel|phone|fax))\b/i
3065.  
3066. 1
3067. 0.000
3068. 1
3069.  
3070.  
3071. __FRAUD_WDR
3072. private lawyer
3073. body
3074. /\bprivate lawyer\b/i
3075.  
3076. 1
3077. 0.000
3078. 1
3079.  
3080.  
3081. __FRAUD_UUY
3082. legitimate business
3083. body
3084. /\blegitimate business(?:es)?\b/i
3085.  
3086. 1
3087. 0.000
3088. 1
3089.  
3090.  
3091. __FRAUD_MLY
3092. reply/respond to/through
3093. body
3094. /\b(?:reply|respond)\b[^.]{0,50}\b(?:to|through)\b[^.]{0,50}\@\b/i
3095.  
3096. 1
3097. 0.000
3098. 1
3099.  
3100.  
3101. ADVANCE_FEE_3
3102. advance_fee_3
3103. meta
3104. (__FRAUD_KJV + __FRAUD_IRJ + __FRAUD_NEB + __FRAUD_XJR + __FRAUD_EZY + __FRAUD_ZFJ + __FRAUD_KDT + __FRAUD_BGP + __FRAUD_FBI + __FRAUD_JBU + __FRAUD_JYG + __FRAUD_XVW + __FRAUD_SNT + __FRAUD_LTX + __FRAUD_MCQ + __FRAUD_PVN + __FRAUD_FVU + __FRAUD_CKF + __FRAUD_FCW + __FRAUD_MQO + __FRAUD_TCC + __FRAUD_GBW + __FRAUD_NRG + __FRAUD_RLX + __FRAUD_AXF + __FRAUD_THJ + __FRAUD_YQV + __FRAUD_YJA + __FRAUD_YPO + __FRAUD_UOQ + __FRAUD_DBI + __FRAUD_BEP + __FRAUD_DPR + __FRAUD_QXX + __FRAUD_QFY + __FRAUD_PTS + __FRAUD_TDP + __FRAUD_GAN + __FRAUD_IPK + __FRAUD_AON + __FRAUD_WNY + __FRAUD_AUM + __FRAUD_WFC + __FRAUD_YWW + __FRAUD_ULK + __FRAUD_IOU + __FRAUD_JNB + __FRAUD_IRT + __FRAUD_ETX + __FRAUD_WDR + __FRAUD_UUY + __FRAUD_MLY > 3)
3105.  
3106. 1
3107. 3.336
3108. 1
3109.  
3110.  
3111. ADVANCE_FEE_4
3112. advance_fee_4
3113. meta
3114. (__FRAUD_KJV + __FRAUD_IRJ + __FRAUD_NEB + __FRAUD_XJR + __FRAUD_EZY + __FRAUD_ZFJ + __FRAUD_KDT + __FRAUD_BGP + __FRAUD_FBI + __FRAUD_JBU + __FRAUD_JYG + __FRAUD_XVW + __FRAUD_SNT + __FRAUD_LTX + __FRAUD_MCQ + __FRAUD_PVN + __FRAUD_FVU + __FRAUD_CKF + __FRAUD_FCW + __FRAUD_MQO + __FRAUD_TCC + __FRAUD_GBW + __FRAUD_NRG + __FRAUD_RLX + __FRAUD_AXF + __FRAUD_THJ + __FRAUD_YQV + __FRAUD_YJA + __FRAUD_YPO + __FRAUD_UOQ + __FRAUD_DBI + __FRAUD_BEP + __FRAUD_DPR + __FRAUD_QXX + __FRAUD_QFY + __FRAUD_PTS + __FRAUD_TDP + __FRAUD_GAN + __FRAUD_IPK + __FRAUD_AON + __FRAUD_WNY + __FRAUD_AUM + __FRAUD_WFC + __FRAUD_YWW + __FRAUD_ULK + __FRAUD_IOU + __FRAUD_JNB + __FRAUD_IRT + __FRAUD_ETX + __FRAUD_WDR + __FRAUD_UUY + __FRAUD_MLY > 4)
3115.  
3116. 1
3117. 3.727
3118. 1
3119.  
3120.  
3121. __REPTO_OVERQUOTE
3122. BAT reply to format ->__REPTO_OVERQUOTE
3123. header
3124. /"[\w. -]+"\s*\</
3125. Reply-To
3126. 1
3127. 0.000
3128. 1
3129.  
3130.  
3131. __THEBAT_MUA
3132. BAT mailer
3133. header
3134. /The Bat!/
3135. X-Mailer
3136. 1
3137. 0.000
3138. 1
3139.  
3140.  
3141. REPTO_OVERQUOTE_THEBAT
3142. The Bat! doesn't do quoting like this ->REPTO_OVERQUOTE_THEBAT
3143. meta
3144. (__REPTO_OVERQUOTE && __THEBAT_MUA)
3145.  
3146. 1
3147. 2.146
3148. 1
3149.  
3150.  
3151. __MOZILLA_MUA
3152.  
3153. header
3154. /\bMozilla\b/
3155. X-Mailer
3156. 1
3157. 0.0
3158. 1
3159.  
3160.  
3161. __MOZILLA_MSGID
3162.  
3163. header
3164. /^<[A-F\d]{8}\.[A-F1-9][A-F\d]{0,7}\@\S+>$/m
3165. MESSAGEID
3166. 1
3167. 0.0
3168. 1
3169.  
3170.  
3171. FORGED_MUA_MOZILLA
3172. Forged mail pretending to be from Mozilla
3173. meta
3174. (__MOZILLA_MUA && !__UNUSABLE_MSGID && !__MOZILLA_MSGID)
3175.  
3176.  
3177. 0.539
3178. 1
3179.  
3180.  
3181. __AOL_MUA
3182.  
3183. header
3184. /\bAOL\b/
3185. X-Mailer
3186. 1
3187. 0.0
3188. 1
3189.  
3190.  
3191. __AOL_FROM
3192.  
3193. header
3194. /\@(?:aol|cs)\.com$/i
3195. From:addr
3196. 1
3197. 0.0
3198. 1
3199.  
3200.  
3201. FORGED_MUA_AOL_FROM
3202. Forged mail pretending to be from AOL (by From)
3203. meta
3204. (__AOL_MUA && !__AOL_FROM)
3205.  
3206.  
3207. 3.035
3208. 1
3209.  
3210.  
3211. __CD
3212.  
3213. header
3214. exists:Content-Disposition
3215.  
3216. 1
3217. 0
3218. 1
3219.  
3220.  
3221. __CT
3222.  
3223. header
3224. exists:Content-Type
3225.  
3226. 1
3227. 0
3228. 1
3229.  
3230.  
3231. __CTE
3232.  
3233. header
3234. exists:Content-Transfer-Encoding
3235.  
3236. 1
3237. 0
3238. 1
3239.  
3240.  
3241. __MIME_VERSION
3242.  
3243. header
3244. exists:MIME-Version
3245.  
3246. 1
3247. 0
3248. 1
3249.  
3250.  
3251. __CT_TEXT_PLAIN
3252.  
3253. header
3254. /^text\/plain\b/i
3255. Content-Type
3256. 1
3257. 0
3258. 1
3259.  
3260.  
3261. MIME_HEADER_CTYPE_ONLY
3262. 'Content-Type' found without required MIME headers
3263. meta
3264. (!__CD && !__CTE && __CT && !__MIME_VERSION && !__CT_TEXT_PLAIN)
3265.  
3266.  
3267. 0.182
3268. 1
3269.  
3270.  
3271. MSGID_MULTIPLE_AT
3272. Message-ID contains multiple '@' characters ->MSGID_MULTIPLE_AT
3273. header
3274. /<[^>]*\@[^>]*\@/
3275. Message-Id
3276. 1
3277. 3.187
3278. 1
3279.  
3280.  
3281. MSGID_SHORT
3282. MESSAGE-ID IS UNUSUALLY SHORT-> MSGID_SHORT
3283. header
3284. /^.{1,15}$|<.{0,4}\@/m
3285. Message-Id
3286. 1
3287. 3.100
3288. 1
3289. -3
3290.  
3291. MSGID_SPAM_LETTERS
3292. Spam tool Message-Id: (letters variant)-> MSGID_SPAM_LETTERS
3293. header
3294. /<[a-z]{5,}\@(\S+\.)+\S+>/
3295. Message-Id
3296. 1
3297. 3.021
3298. 1
3299.  
3300.  
3301. NO_PRESCRIPTION
3302. No prescription needed -> NO_PRESCRIPTION
3303. body
3304. /no.{1,10}P(?:er|re)scription.{1,10}(?:needed|require|necessary)/i
3305.  
3306. 1
3307. 3.887
3308. 1
3309.  
3310.  
3311. RATWARE_RCVD_AT
3312. BULK EMAIL FINGERPRINT (RECEIVED @) FOUND ->RATWARE_RCVD_AT
3313. header
3314. / by \S+\@\S+ with Microsoft SMTPSVC/
3315. Received
3316. 1
3317. 3.330
3318. 1
3319. -3
3320.  
3321. RATWARE_RCVD_PF
3322. BULK EMAIL FINGERPRINT (RECEIVED PF) FOUND ->RATWARE_RCVD_PF
3323. header
3324. / \(Postfix\) with ESMTP id [^;]+\; \S+ \d+ \S+ \d+ \d+:\d+:\d+ \S+$/s
3325. Received
3326. 1
3327. 3.600
3328. 1
3329. -3
3330.  
3331. REMOVE_BEFORE_LINK
3332. Removal phrase right before a link ->REMOVE_BEFORE_LINK
3333. body
3334. m{(?:no thanks|not interested|unsubscribe here).{0,5}http://}i
3335.  
3336. 1
3337. 3.700
3338. 1
3339.  
3340.  
3341. SUBJECT_DRUG_GAP_C
3342. Subject contains a gappy version of 'cialis' ->SUBJECT_DRUG_GAP_C
3343. header
3344. /\bc.{0,2}i.{0,2}a.{0,2}l.{0,2}i.{0,2}s\b/i
3345. Subject
3346. 1
3347. 3.140
3348. 1
3349.  
3350.  
3351. SUBJECT_DRUG_GAP_VIC
3352. Subject contains a gappy version of 'vicodin' -> SUBJECT_DRUG_GAP_VIC
3353. header
3354. /v.{0,2}i.{0,2}c.{0,2}[0o].{0,2}d.{0,2}i.{0,2}n/i
3355. Subject
3356. 1
3357. 3.145
3358. 1
3359.  
3360.  
3361. URI_NO_WWW_BIZ_CGI
3362. CGI in .biz TLD other than third-level "www" -> URI_NO_WWW_BIZ_CGI
3363. uri
3364. /^(?:https?:\/\/)?[^\/]+(?<!\/www)\.[^.]{7,}\.biz\/(?=\S{15,})\S*\?/i
3365.  
3366. 1
3367. 3.000
3368. 1
3369.  
3370.  
3371. URI_UNSUBSCRIBE
3372. URI contains suspicious unsubscribe link - > URI_UNSUBSCRIBE
3373. uri
3374. /\b(?:gone|opened|out)\.php/i
3375.  
3376. 1
3377. 3.200
3378. 1
3379.  
3380.  
3381. SUBJECT_FUZZY_MEDS
3382. ATTEMPT TO OBFUSCATE WORDS IN SUBJECT: -> SUBJECT_FUZZY_MEDS
3383. header
3384. /<M><E><D><S>/i
3385. Subject
3386. 1
3387. 3.600
3388. 1
3389. -3
3390.  
3391. __MSGID_DOLLARS_MAYBE
3392. May be dollar in Message-id ->__MSGID_DOLLARS_MAYBE
3393. header
3394. /<\w{4,}\$\w{4,}\$(?!localhost)\w{4,}\@\S+>/mi
3395. Message-Id
3396. 1
3397. 0.000
3398. 1
3399.  
3400.  
3401. __MSGID_DOLLARS_OK
3402. Dollar sign OK ->__MSGID_DOLLARS_OK
3403. header
3404. /<[0-9a-f]{4,}\$[0-9a-f]{4,}\$[0-9a-f]{4,}\@\S+>/m
3405. Message-Id
3406. 1
3407. 0.000
3408. 1
3409.  
3410.  
3411. MSGID_DOLLARS_RANDOM
3412. Dollar signs in Message-id -> MSGID_DOLLARS_RANDOM
3413. meta
3414. (__MSGID_DOLLARS_MAYBE && !__MSGID_DOLLARS_OK)
3415.  
3416. 1
3417. 3.780
3418. 1
3419.  
3420.  
3421. __MSGID_RANDY
3422. -> __MSGID_RANDY
3423. header
3424. /<[a-z\d][a-z\d\$-]{10,29}[a-z\d]\@[a-z\d][a-z\d.]{3,12}[a-z\d]>/
3425. Message-Id
3426. 1
3427. 0.000
3428. 1
3429.  
3430.  
3431. __MSGID_OK_HEX
3432. -> __MSGID_OK_HEX
3433. header
3434. /\b[a-f\d]{8}\b/
3435. Message-Id
3436. 1
3437. 0.000
3438. 1
3439.  
3440.  
3441. __MSGID_OK_DIGITS
3442. -> __MSGID_OK_DIGITS
3443. header
3444. /\d{10}/
3445. Message-Id
3446. 1
3447. 0.000
3448. 1
3449.  
3450.  
3451. __MSGID_OK_HOST
3452. -> __MSGID_OK_HOST
3453. header
3454. /\@(?:\D{2,}|(?:\d{1,3}\.){3}\d{1,3})>/
3455. Message-Id
3456. 1
3457. 0.000
3458. 1
3459.  
3460.  
3461. MSGID_RANDY
3462. Message-Id has pattern used in spam ->MSGID_RANDY
3463. meta
3464. (__MSGID_RANDY && !(__MSGID_OK_HEX || __MSGID_OK_DIGITS || __MSGID_OK_HOST))
3465.  
3466. 1
3467. 3.412
3468. 1
3469.  
3470.  
3471. __PC_RND_HEADER
3472. -> __PC_RND_HEADER
3473. header
3474. /%RA?ND(?:OM)?(?:_|\b|[A-Z]{3})/i
3475. ALL
3476. 1
3477. 0.000
3478. 1
3479.  
3480.  
3481. __PC_RND_RAWBODY
3482. -> __PC_RND_RAWBODY
3483. rawbody
3484. /%RA?ND(?:OM)?(?:_|\b|[A-Z]{3})/i
3485.  
3486. 1
3487. 0.000
3488. 1
3489.  
3490.  
3491. PERCENT_RANDOM
3492. Message has a random macro in it ->PERCENT_RANDOM
3493. meta
3494. (__PC_RND_HEADER || __PC_RND_RAWBODY)
3495.  
3496. 1
3497. 3.196
3498. 1
3499.  
3500.  
3501. __HAS_X_MAILER
3502. X-MAILER HEADER PRESENT -> __HAS_X_MAILER
3503. header
3504. exists:X-Mailer
3505. X-Mailer
3506. 1
3507. 0.000
3508. 1
3509. -3
3510.  
3511. RATWARE_OUTLOOK_NONAME
3512. Bulk email fingerprint (Outlook no name) found ->RATWARE_OUTLOOK_NONAME
3513. meta
3514. (__MSGID_DOLLARS_OK && !__HAS_X_MAILER)
3515.  
3516. 1
3517. 3.471
3518. 1
3519.  
3520.  
3521. __CTYPE_HTML
3522.  
3523. header
3524. /text\/html/i
3525. Content-Type
3526. 1
3527. 0.0
3528. 1
3529.  
3530.  
3531. __0_TZ_1
3532. ->__0_TZ_1
3533. header
3534. /^\"(\w)(\w+) (\w+)\" <\1\2[\._]?\3_?[a-z][a-z]\@/i
3535. From
3536. 1
3537. 0.000
3538. 1
3539.  
3540.  
3541. __0_TZ_2
3542. -> __0_TZ_2
3543. header
3544. /^\"(\w)(\w+) (\w+)\" <\1[\._]?\3_?[a-z][a-z]\@/i
3545. From
3546. 1
3547. 0.000
3548. 1
3549.  
3550.  
3551. __0_TZ_3
3552. -> __0_TZ_3
3553. header
3554. /^\"(\w)(\w+) (\w+)\" <\3_?[a-z][a-z]\@/i
3555. From
3556. 1
3557. 0.000
3558. 1
3559.  
3560.  
3561. __0_TZ_4
3562. -> __0_TZ_4
3563. header
3564. /^\"(\w)(\w+) (\w)\. (\w+)\" <\1\2[\._]?\4_?[a-z][a-z]\@/i
3565. From
3566. 1
3567. 0.000
3568. 1
3569.  
3570.  
3571. __0_TZ_5
3572. -> __0_TZ_5
3573. header
3574. /^\"(\w)(\w+) (\w)\. (\w+)\" <\1\2[\._]?\3[\._]?\4_?[a-z][a-z]\@/i
3575. From
3576. 1
3577. 0.000
3578. 1
3579.  
3580.  
3581. __0_TZ_6
3582. -> __0_TZ_6
3583. header
3584. /^\"(\w)(\w+) (\w)\. (\w+)\" <\1\3\4_?[a-z][a-z]\@/i
3585. From
3586. 1
3587. 0.000
3588. 1
3589.  
3590.  
3591. __0_TZ_7
3592. -> __0_TZ_7
3593. header
3594. /^\"(\w)(\w+) (\w)\. (\w+)\" <\3[\._]?\4_?[a-z][a-z]\@/i
3595. From
3596. 1
3597. 0.000
3598. 1
3599.  
3600.  
3601. RATWARE_ZERO_TZ
3602. Bulk email fingerprint (+0000) found -> RATWARE_ZERO_TZ
3603. meta
3604. (__RATWARE_0_TZ_DATE && __CTYPE_HTML && (__0_TZ_1 || __0_TZ_2 || __0_TZ_3 || __0_TZ_4 || __0_TZ_5 || __0_TZ_6 || __0_TZ_7))
3605.  
3606. 1
3607. 3.792
3608. 1
3609.  
3610.  
3611. __REPTO_QUOTE
3612. AOL doesn't do quoting like this -> __REPTO_QUOTE
3613. header
3614. /".*"\s*\</
3615. Reply-To
3616. 1
3617. 0.000
3618. 1
3619.  
3620.  
3621. __FROM_MSN_COM
3622. -> __FROM_MSN_COM
3623. header
3624. /\@msn\.com\b/i
3625. From
3626. 1
3627. 0.000
3628. 1
3629.  
3630.  
3631. __AT_MSN_MSGID
3632. -> __AT_MSN_MSGID
3633. header
3634. /\@msn\.com\b/i
3635. Message-Id
3636. 1
3637. 0.000
3638. 1
3639. -3
3640.  
3641. REPTO_QUOTE_MSN
3642. MSN doesn't do quoting like this -> REPTO_QUOTE_MSN
3643. meta
3644. (__REPTO_QUOTE && (__FROM_MSN_COM || __AT_MSN_MSGID))
3645.  
3646. 1
3647. 3.249
3648. 1
3649.  
3650.  
3651. REPTO_QUOTE_YAHOO
3652. Yahoo! doesn't do quoting like this -> REPTO_QUOTE_YAHOO
3653. meta
3654. (__REPTO_QUOTE && (__FROM_YAHOO_COM || __AT_YAHOO_MSGID))
3655.  
3656. 1
3657. 3.428
3658. 1
3659.  
3660.  
3661. ADDR_NUMS_AT_BIGSITE
3662. Has an address with lots of numbers at a big ISP
3663. meta
3664. (__ADDR_NUMS_AT_BIGSITE && !FROM_ENDS_IN_NUMS && !FROM_STARTS_WITH_NUMS && !FROM_HAS_MIXED_NUMS && !FROM_ALL_NUMS)
3665.  
3666. 1
3667. 1.007
3668. 1
3669.  
3670.  
3671. HOT_NASTY
3672. Possible porn - Hot, Nasty, Wild, Young
3673. body
3674. /\b(?=[dehklnswxy])(?:horny|nasty|hot|wild|young|horniest|nastiest|hottest|wildest|youngest|naughty|dirtiest|slutty|kinky|lusty|extreme|xxx+)\b.{0,9}\b(?=[acfghilmpsvx])(?:virgins?\b|asian|cheerleader|sex|selection|fuck|fucking|anal\b|lesb(?:ian|o)|incest|chicks?|pics|movies|video|gay\b|porn|h[a\@]rdcore|schoolgirls|amateur|slut|adult|cum\b|xxx|sites?|hotties|shit)/i
3675.  
3676.  
3677. 0.157
3678. 1
3679.  
3680.  
3681. STOCK_ALERT
3682. Offers a alert about a stock
3683. body
3684. /\bstock alert/i
3685.  
3686.  
3687. 1.680
3688. 1
3689.  
3690.  
3691. OBSCURED_EMAIL
3692. Message seems to contain rot13ed address
3693. body
3694. /\w+\^\S+\(\w{2,4}\b/
3695.  
3696.  
3697. 1.680
3698. 1
3699.  
3700.  
3701. IP_LINK_PLUS
3702. Dotted-decimal IP address followed by CGI
3703. uri
3704. m{^https?://\d+\.\d+\.\d+\.\d+.{0,20}(?:cgi|click|ads|id=)}i
3705.  
3706. 1
3707. 0.467
3708. 1
3709.  
3710.  
3711. BIZ_TLD
3712. Contains a URL in the BIZ top-level domain
3713. uri
3714. /\.biz(?::\d+)?(?:\/|$)/i
3715.  
3716.  
3717. 1.169
3718. 1
3719.  
3720.  
3721. BILL_1618
3722. Claims compliance with Senate Bill 1618
3723. body
3724. /\bs\W{0,4}1618\b/i
3725.  
3726.  
3727. 1.405
3728. 1
3729.  
3730.  
3731. RATWARE_HASH_2
3732. Bulk email fingerprint (hash 2) found
3733. header
3734. /^[A-Za-z0-9_]{16,}$/
3735. X-Mailer
3736. 1
3737. 1.949
3738. 1
3739.  
3740.  
3741. RATWARE_HASH_2_V2
3742. Bulk email fingerprint (hash 2 v2) found
3743. header
3744. /^[A-Za-z0-9_]{14,}$/
3745. X-Mailer
3746. 1
3747. 2.000
3748. 1
3749.  
3750.  
3751. __EUDORA_MSGID
3752.  
3753. header
3754. /^<(?:\d\d?\.){3,5}\d{14}\.[a-f0-9]{8}\@\S+(?:\sport\s\d+)?>$/m
3755. MESSAGEID
3756. 1
3757. 0.0
3758. 1
3759.  
3760.  
3761. __OIMO_MSGID
3762.  
3763. header
3764. /^<[A-P]{26}A[ABC]\.[-\w.]+\@\S+>$/m
3765. MESSAGEID
3766. 1
3767. 0.0
3768. 1
3769.  
3770.  
3771. __EUDORA_MUA
3772.  
3773. header
3774. /^QUALCOMM Windows Eudora (?:Pro |Light )?Version [3456]\./
3775. X-Mailer
3776. 1
3777. 0.0
3778. 1
3779.  
3780.  
3781. __THEBAT_MUA_V2
3782.  
3783. header
3784. /^The Bat! \(v2\./
3785. X-Mailer
3786. 1
3787. 0.0
3788. 1
3789.  
3790.  
3791. MIME_BOUND_DD_DIGITS
3792. SPAM TOOL PATTERN IN MIME BOUNDARY ->MIME_BOUND_DD_DIGITS
3793. header
3794. /boundary=\"--\d+\"/
3795. Content-Type
3796. 1
3797. 4.500
3798. 1
3799. -3
3800.  
3801. MSGID_SPAM_CAPS
3802. SPAM TOOL MESSAGE-ID: (CAPS VARIANT) ->MSGID_SPAM_CAPS
3803. header
3804. /^\s*<?[A-Z]+\@(?!(?:mailcity|whowhere)\.com)/
3805. Message-ID
3806. 1
3807. 4.400
3808. 1
3809. -3
3810.  
3811. URI_NO_WWW_INFO_CGI
3812. CGI in .info TLD other than third-level "www" ->URI_NO_WWW_INFO_CGI
3813. uri
3814. /^(?:https?:\/\/)?[^\/]+(?<!\/www)\.[^.]{7,}\.info\/(?=\S{15,})\S*\?/i
3815.  
3816. 1
3817. 4.100
3818. 1
3819.  
3820.  
3821. __THEBAT_MUA_V1
3822. BAT mailer
3823. header
3824. /^The Bat! \(v1\./
3825. X-Mailer
3826. 1
3827. 0.000
3828. 1
3829.  
3830.  
3831. FORGED_THEBAT_HTML
3832. The Bat! can't send HTML message only
3833. meta
3834. (__THEBAT_MUA_V1 && MIME_HTML_ONLY)
3835.  
3836. 1
3837. 2.387
3838. 1
3839.  
3840.  
3841. __FORGED_RCVD_TRAIL
3842.  
3843. header
3844. eval:check_for_forged_received_trail()
3845. Received
3846. 1
3847. 0.0
3848. 1
3849.  
3850.  
3851. CONFIRMED_FORGED
3852. Received headers are forged
3853. meta
3854. (__FORGED_RCVD_TRAIL && (FORGED_AOL_RCVD || FORGED_HOTMAIL_RCVD || FORGED_EUDORAMAIL_RCVD || FORGED_YAHOO_RCVD || FORGED_JUNO_RCVD || FORGED_GW05_RCVD))
3855.  
3856. 1
3857. 0.690
3858. 1
3859.  
3860.  
3861. __ANY_OUTLOOK_MUA
3862.  
3863. header
3864. /^Microsoft Outlook\b/
3865. X-Mailer
3866. 1
3867. 0.0
3868. 1
3869.  
3870.  
3871. __YAHOO_BULK
3872.  
3873. header
3874. /from \[\S+\] by \S+\.(?:groups|scd|dcn)\.yahoo\.com with NNFMP/
3875. Received
3876. 1
3877. 0.0
3878. 1
3879.  
3880.  
3881. FORGED_OUTLOOK_HTML
3882. Outlook can't send HTML message only
3883. meta
3884. (!__YAHOO_BULK && __ANY_OUTLOOK_MUA && MIME_HTML_ONLY)
3885.  
3886.  
3887. 3.872
3888. 1
3889.  
3890.  
3891. __TAG_EXISTS_HEAD
3892.  
3893. body
3894. eval:html_tag_exists('head')
3895.  
3896. 1
3897. 0.0
3898. 1
3899.  
3900.  
3901. __TAG_EXISTS_META
3902.  
3903. body
3904. eval:html_tag_exists('meta')
3905.  
3906. 1
3907. 0.0
3908. 1
3909.  
3910.  
3911. __TAG_EXISTS_BODY
3912.  
3913. body
3914. eval:html_tag_exists('body')
3915.  
3916. 1
3917. 0.0
3918. 1
3919.  
3920.  
3921. FORGED_OUTLOOK_TAGS
3922. Outlook can't send HTML in this format
3923. meta
3924. (!__YAHOO_BULK && __ANY_OUTLOOK_MUA && __MIME_HTML && !(__TAG_EXISTS_HTML && __TAG_EXISTS_HEAD && __TAG_EXISTS_META && __TAG_EXISTS_BODY))
3925.  
3926.  
3927. 3.537
3928. 1
3929.  
3930.  
3931. __HAS_X_PRIORITY
3932.  
3933. header
3934. exists:X-Priority
3935.  
3936. 1
3937. 0.0
3938. 1
3939.  
3940.  
3941. __IS_EXCH
3942.  
3943. header
3944. /Produced By Microsoft Exchange V/
3945. X-MimeOLE
3946. 1
3947. 0.0
3948. 1
3949.  
3950.  
3951. __USER_AGENT
3952.  
3953. header
3954. exists:User-Agent
3955.  
3956. 1
3957. 0.0
3958. 1
3959.  
3960.  
3961. __X_NEWSREADER
3962.  
3963. header
3964. exists:X-Newsreader
3965.  
3966. 1
3967. 0.0
3968. 1
3969.  
3970.  
3971. PRIORITY_NO_NAME
3972. Message has priority setting, but no X-Mailer
3973. meta
3974. ((__HAS_X_PRIORITY && __HAS_MSMAIL_PRI) && !__HAS_X_MAILER && !__IS_EXCH && !__USER_AGENT && !__X_NEWSREADER)
3975.  
3976.  
3977. 2.155
3978. 1
3979.  
3980.  
3981. __CTYPE_HAS_BOUNDARY
3982.  
3983. header
3984. /boundary/i
3985. Content-Type
3986. 1
3987. 0.0
3988. 1
3989.  
3990.  
3991. __BAT_BOUNDARY
3992.  
3993. header
3994. /boundary=\"?-{10}/
3995. Content-Type
3996. 1
3997. 0.0
3998. 1
3999.  
4000.  
4001. __MAILMAN_21
4002.  
4003. header
4004. /\d/
4005. X-Mailman-Version
4006. 1
4007. 0.0
4008. 1
4009.  
4010.  
4011. FORGED_MUA_THEBAT_BOUN
4012. Mail pretending to be from The Bat! (boundary)
4013. meta
4014. (__THEBAT_MUA_V1 && __CTYPE_HAS_BOUNDARY && !__BAT_BOUNDARY && !__MAILMAN_21)
4015.  
4016.  
4017. 2.163
4018. 1
4019.  
4020.  
4021. __ANY_IMS_MUA
4022.  
4023. header
4024. /^Internet Mail Service\b/
4025. X-Mailer
4026. 1
4027. 0.0
4028. 1
4029.  
4030.  
4031. FORGED_IMS_TAGS
4032. IMS mailers can't send HTML in this format
4033. meta
4034. (!__YAHOO_BULK && __ANY_IMS_MUA && __MIME_HTML && !(__TAG_EXISTS_HTML && __TAG_EXISTS_HEAD && __TAG_EXISTS_META && __TAG_EXISTS_BODY))
4035.  
4036.  
4037. 2.054
4038. 1
4039.  
4040.  
4041. __IMS_MUA
4042.  
4043. header
4044. /Internet Mail Service/
4045. X-Mailer
4046. 1
4047. 0.0
4048. 1
4049.  
4050.  
4051. __IMS_HTML_BUILDS
4052.  
4053. header
4054. /^Internet Mail Service .(?:[6789]\.|5\.[6789]|5\.5\.(?:[3456789]|2[789]|26[6789]|265[6789]))/
4055. X-Mailer
4056. 1
4057. 0.0
4058. 1
4059.  
4060.  
4061. __IMS_HTML_RCVD
4062.  
4063. header
4064. /\bby \S+ with Internet Mail Service .(?:[6789]\.|5\.[6789]|5\.5\.(?:[3456789]|2[789]|26[6789]|265[6789]))/
4065. Received
4066. 1
4067. 0.0
4068. 1
4069.  
4070.  
4071. FORGED_IMS_HTML
4072. IMS can't send HTML message only
4073. meta
4074. (!__YAHOO_BULK && __IMS_MUA && MIME_HTML_ONLY && !(__IMS_HTML_BUILDS && __IMS_HTML_RCVD))
4075.  
4076.  
4077. 2.184
4078. 1
4079.  
4080.  
4081. FROM_HAS_ULINE_NUMS
4082. From: contains an underline and numbers/letters
4083. header
4084. /_\S?(?:[a-z]+\w*?\d+|\d+\w*?[a-z]+)\w*\@/i
4085.  
4086.  
4087. 0.217
4088. 1
4089.  
4090.  
4091. __OIMO_MUA
4092.  
4093. header
4094. /Outlook IMO/
4095. X-Mailer
4096. 1
4097. 0.0
4098. 1
4099.  
4100.  
4101. __OE_MSGID_2
4102.  
4103. header
4104. /^<(?:[0-9a-f]{8}|[0-9a-f]{12})\$[0-9a-f]{8}\$[0-9a-f]{8}\@\S+>$/m
4105. message-id
4106. 1
4107. 0.0
4108. 1
4109.  
4110.  
4111. FORGED_MUA_OIMO
4112. Forged mail pretending to be from MS Outlook IMO
4113. meta
4114. (__OIMO_MUA && !__OIMO_MSGID && !__OE_MSGID_2 && !__UNUSABLE_MSGID)
4115.  
4116.  
4117. 0.981
4118. 1
4119.  
4120.  
4121. __IMS_MSGID
4122.  
4123. header
4124. /^<[A-F\d]{36,40}\@\S+>$/m
4125. MESSAGEID
4126. 1
4127. 0.0
4128. 1
4129.  
4130.  
4131. FORGED_MUA_IMS
4132. Forged mail pretending to be from IMS
4133. meta
4134. (__IMS_MUA && !__IMS_MSGID && !__UNUSABLE_MSGID)
4135.  
4136.  
4137. 1.198
4138. 1
4139.  
4140.  
4141. MSGID_DOLLARS
4142. Message-Id has pattern used in spam ->MSGID_DOLLARS
4143. meta
4144. (__OE_MSGID_2 && !__HAS_OUTLOOK_IN_MAILER && !__UNUSABLE_MSGID)
4145.  
4146. 1
4147. 3.171
4148. 1
4149.  
4150.  
4151. __OE_MUA
4152.  
4153. header
4154. /\bOutlook Express [456]\./
4155. X-Mailer
4156. 1
4157. 0.0
4158. 1
4159.  
4160.  
4161. __OE_MSGID_1
4162.  
4163. header
4164. /^<[A-Za-z0-9-]{7}[A-Za-z0-9]{20}\@hotmail\.com>$/m
4165. message-id
4166. 1
4167. 0.0
4168. 1
4169.  
4170.  
4171. __OE_MSGID_3
4172.  
4173. header
4174. /^<BAY\d+-DAV\d+[A-Z0-9]{25}\@phx\.gbl>$/m
4175. message-id
4176. 1
4177. 0.0
4178. 1
4179.  
4180.  
4181. __OUTLOOK_DOLLARS_MUA
4182.  
4183. header
4184. /^Microsoft Outlook(?: 8| CWS, Build 9|, Build 10)\./
4185. X-Mailer
4186. 1
4187. 0.0
4188. 1
4189.  
4190.  
4191. __OUTLOOK_DOLLARS_OTHER
4192.  
4193. header
4194. /^<\!\~\!/m
4195. message-id
4196. 1
4197. 0.0
4198. 1
4199.  
4200.  
4201. FORGED_MUA_OUTLOOK
4202. Forged mail pretending to be from MS Outlook
4203. meta
4204. ((__OE_MUA && !__OE_MSGID_1 && !__OE_MSGID_2 && !__OE_MSGID_3 && !__UNUSABLE_MSGID) || (__OUTLOOK_DOLLARS_MUA && !__OE_MSGID_2 && !__OUTLOOK_DOLLARS_OTHER && !__IMS_MSGID && !__UNUSABLE_MSGID))
4205.  
4206.  
4207. 4.056
4208. 1
4209.  
4210.  
4211. __HAS_X_LOOP
4212.  
4213. header
4214. exists:X-Loop
4215.  
4216. 1
4217. 0.0
4218. 1
4219.  
4220.  
4221. __HAS_X_MAILING_LIST
4222.  
4223. header
4224. exists:X-Mailing-List
4225.  
4226. 1
4227. 0.0
4228. 1
4229.  
4230.  
4231. FORGED_MUA_EUDORA
4232. Forged mail pretending to be from Eudora
4233. meta
4234. (__EUDORA_MUA && !__EUDORA_MSGID && !__UNUSABLE_MSGID && !__HAS_X_LOOP && !__HAS_X_MAILING_LIST)
4235.  
4236.  
4237. 1.944
4238. 1
4239.  
4240.  
4241.