296e83cace09cc9cacc5cfbbad83250a208671e6
[spamassassin_config.git] / common / misc_spam
1 # -*- mode: spamassassin -*-
2
3 # This seems to catch a lot of spam, but not sure about false positive (from airmax.cf)
4 # pasc couldn't find any false positives on the lists he's on
5 header   X_MESSAGE_INFO exists:X-Message-Info
6 score    X_MESSAGE_INFO 4.0
7
8 # Added by pasc 2004/07/08 (sent by abuse@outblaze via karsten)
9 # host no longer exists according to administrator
10 header FAKE_OUTBLAZE_RCVD       Received =~ /\.mr\.outblaze\.com/
11 describe FAKE_OUTBLAZE_RCVD     Received header contains faked 'mr.outblaze.com'
12 score FAKE_OUTBLAZE_RCVD        3.0
13
14 # blarson 2005-01-19 (--pasc 2005-01-30)
15 header TRACKING         subject =~ /\b(?:tracking|package|shipping|shipment|delivery) number :/i
16 describe TRACKING       tracking number
17 score TRACKING          2
18
19 # Sent in by blars (20050220) -- applied by pasc
20 body GUEBDE     /http\:\/\/www\.gueb\.de\//
21 describe GUEBDE www.geub.de
22 score GUEBDE    5
23
24 # Don 2008-06-27
25 full     PGPSIGNATURE   /-----BEGIN PGP SIGNATURE-----/
26 describe PGPSIGNATURE   Has a pgp signature (may not be valid, but who cares?)
27 score    PGPSIGNATURE   -5
28
29
30 # TODO: The rules below seem to be very similar; possibly fix them.
31
32 # These might trip up on non-english lists. We'll see.
33 # They're fucking up on GPG signatures
34 body MURPHY_WRONG_WORD1 /[bcdfghjklmnpqrstvwxz]{7,}/i
35 score MURPHY_WRONG_WORD1 0.1
36
37 body MURPHY_WRONG_WORD2 /[bcdfghjklmnpqrstvwxz]{6,}/i
38 score MURPHY_WRONG_WORD2 0.2
39
40 #Impronounceable. Need to check this one for accuracy (from airmax.cf)
41 body IMPRONONCABLE_1                            /([bcdfghjklmnpqrstvwxz]){6,20}/
42 describe IMPRONONCABLE_1                        Some words aren't easy to pronounce (too much vowels)
43 body IMPRONONCABLE_2                            /(([abcdefghijklmnopqrstvwxyz]){1,9}\d{1,4}){2,9}/
44 describe IMPRONONCABLE_2                        Some words aren't easy to pronounce (mixed numbers and lower-case letters)
45
46 # From http://www.exit0.us/index.php/FredsRules
47 # Added by pasc 2004/06/20
48
49 body      __FVGT_b_OBFU_J      /j(b|c|f|g|w)/i
50 body      __FVGT_b_OBFU_OTHER  /(vj|vk|xj|xk|yy|zf|zj)/i
51 body      __FVGT_b_OBFU_Q0     /(j|k|p|q|t|v|w|z)q/i
52 body      __FVGT_b_OBFU_Q1     /q(a|f|h|j|k|m|n|s|y)/i
53 body      __FVGT_b_OBFU_V      /(f|g|q|w)v/i
54 body      __FVGT_b_OBFU_X      /(c|g|j|k|q|s|v|z)x/i
55 body      __FVGT_b_OBFU_Z      /(f|j|k|p|q|x)z/i
56 meta      FVGT_m_MULTI_ODD     ((__FVGT_b_OBFU_J + __FVGT_b_OBFU_OTHER + __FVGT_b_OBFU_Q0 + __FVGT_b_OBFU_Q1 + __FVGT_b_OBFU_V + __FVGT_b_OBFU_X + __FVGT_b_OBFU_Z) > 1)
57 describe  FVGT_m_MULTI_ODD      FVGT - contains multiple odd letter combinations
58 score     FVGT_m_MULTI_ODD      0.02
59
60 # joy, 2003-07-20
61 header NEPEYO                   From =~ /nepeyo\@catlover/
62 describe NEPEYO                 spamvertizers
63 score NEPEYO                    4
64
65 # cjwatson, 2003/07/28
66 header MP3_PLAYERS              Subject =~ /New mp3 player,usb flash drive/
67 describe MP3_PLAYERS            Spam from "HY Tech"
68 score MP3_PLAYERS               4
69
70 # joy, 2003-08-15
71 header UOSJUNK                  Subject =~ /UOS online Degree Programme/i
72 describe UOSJUNK                Spam from UOS
73 score UOSJUNK                   4
74
75 # cjwatson, 2004-02-27
76 body GAS_MILEAGE        /This amazing, revolutionary device|www\.mrev\.biz/
77 describe GAS_MILEAGE    Fuel-saving snake oil
78 score GAS_MILEAGE       3
79
80 # blarson, 2004-03-31
81 body FUELSAVER          /fuel.?saver/i
82 describe FUELSAVER      Fuel Saver spam
83 score FUELSAVER         3
84
85 # blarson, 2004-04-03
86 body CABLEFILTERZ       /cablefilterz/
87 describe CABLEFILTERZ   cablefilterz spam
88 score CABLEFILTERZ      4
89
90 # blarson 2004-04-15
91 header PARENNUM         subject =~ /^\(\s*([0-9\/]+\)|\%RND)/
92 describe PARENNUM       paren number in subject
93 score PARENNUM          3
94
95 # blarson 2004-04-25
96 # bounces our bounces.... (had negitive score)
97 header COVADRT          X-RT-Loop-Prevention =~ /^Covad$/
98 describe COVADRT        Covad request tracker bounces
99 score COVADRT           8
100
101 # blarson 2005-03-02
102 header ROBERTOJIMENOCA  from =~ /ROBERTOJIMENOCA\@terra\.es/
103 describe ROBERTOJIMENOCA ROBERTOJIMENOCA sends spammy looking messages
104 score ROBERTOJIMENOCA   -2
105
106 # blarson 2005-07-10
107 header TURBOPRO         subject =~ /\bturbonet pro\b/i
108 describe TURBOPRO       dialup accelerator spam
109 score TURBOPRO          3
110
111 # blarson 2006-04-28
112 header RESUBJECT        subject =~ /\sRe(?:\[\d+\])?:\s*$/i
113 describe RESUBJECT      re nothing
114 score RESUBJECT         2
115
116 # blarson 2004-10-22 2007-07-18 up score
117 header NOSUBJECT        subject =~ /^\s*$/
118 describe NOSUBJECT      No subject
119 score NOSUBJECT         2.5
120
121 # blarson 2006-10-17
122 full NEXTPART   /\-\=\_NextPart\_000\_/
123 describe NEXTPART       spammer mime separator
124 score NEXTPART          2.5
125
126 # blarson 2006-10-17    2009-04-30
127 full CT_IMAGE           /Content\-Type\:\s*image/i
128 describe CT_IMAGE       Picture attached
129 score CT_IMAGE          1.5
130
131 # blarson 2006-12-01 (score so low since it will also hit CT_IMAGE)
132 header CT_IMAGE_HEAD    content-type =~ /image/
133 describe CT_IMAGE_HEAD  entire message is image
134 score CT_IMAGE_HEAD     2.5
135
136
137 # don 2006-10-25
138 header THREADINDEX      Thread-Index =~ /A-Z/
139 describe THREADINDEX    thread-index header on spam
140 score    THREADINDEX    1.5
141
142 # blarson 2006-10-30
143 header FORDASH          subject =~ /\bFor \- \d+/
144 describe FORDASH        for dash
145 score FORDASH           3
146
147 # blarson 2006-11-01
148 header KOREAN           subject =~ /\=\?koi8\-r/
149 describe KOREAN         Korean Character set spam
150 score KOREAN            2
151
152 # blarson 2006-12-04
153 header FWDNAME          subject =~ /fwd\: \w+\s*$/
154 describe FWDNAME        fwd: name spam
155 score FWDNAME           3
156
157 # blarson 2006-12-06
158 body NUMONLY            /^\s*\d+\s*$/
159 describe NUMONLY        number only body
160 score NUMONLY           1
161
162 # blarson 2007-04-24
163 header THUNDERB         User-Agent =~ /^Thunderbird 1\.5\.0\.10/
164 describe THUNDERB       spam missing content
165 score THUNDERB          2
166
167
168 # blarson 2007-06-15
169 header FAILNOTE         subject =~ /Failure notice\:/
170 describe FAILNOTE       bounced spam
171 score FAILNOTE          2
172
173 # blarson 2007-06-28
174 full CTINLINE   /^Content\-Disposition\: inline\;\b/
175 describe CTINLINE       Inline attachment
176 score CTINLINE          1
177
178 # blarson 2007-07-07
179 body BOXTRAPPER         /^This message is a reply to a boxtrapper verifcation message\./
180 describe BOXTRAPPER     boxtrapper spam
181 score BOXTRAPPER        9
182
183 # blarson 2007-07-09
184 body PROMOCODE          /^promo code\:/i
185 describe PROMOCODE      promo code
186 score PROMOCODE         3
187
188 # blarson 2007-07-11
189 body XLMAN              /\bwww\.xl\-man\.net\b/
190 describe XLMAN          xl-man spam
191 score XLMAN             3
192
193 # blarson 2007-07-12
194 body COSTUMER           /^Dear costumer\b/
195 describe COSTUMER       paypal scam
196 score COSTUMER          3
197
198 # blarson 2007-07-13
199 body PRIVATE            /^Your private and confidential message is attached\./
200 describe PRIVATE        private message
201 score PRIVATE           4
202
203 # don 2007-07-15
204 header AUTOGENERATE     auto-submitted =~ /auto/i
205 describe AUTOGENERATE   auto generated crap
206 score AUTOGENERATE      3
207
208 # blarson 2007-07-15
209 body PRIVPDF            /^All our private messages are in pdf format/
210 describe PRIVPDF        private pdf
211 score PRIVPDF           4
212
213 # don 2007-07-19
214 header AUTORESPOND      X-Autorespond =~ /./
215 describe AUTORESPOND    Automatic response
216 score   AUTORESPOND     4
217
218 header AUTOMAILER       X-Mailer =~ /autors/
219 describe AUTOMAILER     Auto response mailer
220 score AUTOMAILER        3       
221
222 # blarson 2007-07-22
223 header OUTOFOFFICE_SUB  subject =~ /Out_of_Office/
224 describe OUTOFOFFICE_SUB        broken autoresponder
225 score OUTOFOFFICE_SUB   6
226
227 body OUTOFOFFICE        /out of the office/i
228 describe OUTOFOFFICE    Out of the office
229 score OUTOFOFFICE       3
230
231 body OUTOFOFFICE_BACK   /will be back/i
232 describe OUTOFOFFICE_BACK   Out of the office
233 score OUTOFOFFICE_BACK   3
234
235 # blarson 2007-08-01 \w was too broad 2007-08-12 add dash, at least 3 digits
236 header SUBENDNUM        subject =~ /[a-zA-Z!]-?\d{3,}$/
237 describe SUBENDNUM      Subject ends in word989
238 score SUBENDNUM         2
239
240 # blarson 2007-07-27
241 body PRIVMES            /^You have been sent a private message/
242 describe PRIVMES        more pdf spam
243 score PRIVMES           3
244
245 # blarson 2007-07-27
246 header MIXEDBDN         Content-Type =~ /multipart\/mixed\;.*boundary\=\"\-{4,}\d{4,}\"/
247 describe MIXEDBDN       more pdf spam
248 score MIXEDBDN          1
249
250 # blarson 2007-07-28
251 header DOTZIP           subject =~ /\d\.zip\b/
252 describe DOTZIP         zip spam
253 score DOTZIP            3
254
255 # blarson 2007-07-30
256 header MIXED2           Content-Type =~ /multipart\/mixed\;charset\=iso\-8859\-1\;.*boundary\=\"\-\-\-\-\=\_\d{8,}\_\d{4,}\"/
257 describe MIXED2         more pdf spam
258 score MIXED2            2.5
259
260 # blarson 2007-07-31
261 header KEYENCE          From =~ /KEYENCE CORPORATION/
262 describe KEYENCE        opt out spam
263 score KEYENCE           10
264
265 # blarson 2007-08-02
266 header NOSUB            subject =~ /\(No Subject\)$/i
267 describe NOSUB          explicity no subject
268 score NOSUB             1
269
270 # blarson 2007-08-07
271 header CTPDF            Content-Type =~ /\bapplication\/pdf\;/i
272 describe CTPDF          more pdf spam
273 score CTPDF             4
274
275 # blarson 2007-06-12
276 header JAPSUB           subject =~ /\=\?iso\-2022\-jp/i
277 describe JAPSUB         subject in japanese
278 score JAPSUB            3
279
280 # blarson 2007-08-24
281 header XMSATT           X-MS-Has-Attach =~ /yes/i
282 describe XMSATT         more pdf spam
283 score XMSATT            2
284
285 # blarson 2007-10-27
286 body ICQ                /^icq\:/i
287 describe ICQ            icq:
288 score ICQ               2
289
290 # blarson 2007-11-02
291 header XJ2ID            X-J2Id =~ /\d+/
292 describe XJ2ID          fax bounce
293 score XJ2ID             4
294
295 # blarson 2007-11-15
296 header LONGWORD         subject =~ /\b[\w\d]{30,}/i
297 describe LONGWORD       long word in subject
298 score LONGWORD          2
299
300 # blarson 2007-11-23
301 header TESTIMONIAL      subject =~ /\btestimonial/i
302 describe TESTIMONIAL    testimonials
303 score TESTIMONIAL       2
304
305 # blarson 2007-12-13
306 header ITXS             subject =~ /\bit\`s\b/i
307 describe ITXS           it`s
308 score ITXS              4
309
310 # blarson 2007-12-18
311 rawbody TINYFONT        /\bFONT-SIZE\:\s+[123]px\;/i
312 describe TINYFONT       tiny font specified
313 score TINYFONT          3
314
315 # blarson 2008-04-03
316 full ZIPFILE            /\bfilename\=.*\.zip\b/i
317 describe ZIPFILE        zipfile attachment
318 score ZIPFILE           0.5
319
320 # blarson 2008-04-19
321 header SPACESUB         subject =~ /^\s\w/
322 describe SPACESUB       extra space before subject
323 score SPACESUB          0.5
324
325 # don 2008-05-04
326 header YAHOOCALENDAR    X-Yahoo-Newman-Property: =~ /calendar-invite/i
327 describe YAHOOCALENDAR  Calendar invite from yahoo; broken captcha
328 score YAHOOCALENDAR     4
329
330 # blarson 2008-06-03
331 header BOUNDARYID       content-type =~ /\bboundary\=\"Boundary_\(ID_/
332 describe BOUNDARYID     spamware boundary
333 score BOUNDARYID        0.6
334
335 # blarson 2008-07-02
336 body GBKXWFLXF          /\bgbkxwflxf\b/
337 describe GBKXWFLXF      gbkxwflxf
338 score GBKXWFLXF         5
339
340 # blarson 2008-09-07
341 body LUKSUS             /\bluksus\b/i
342 score LUKSUS            4
343 describe LUKSUS         Luksus
344
345 # disabled by don; was causing false positives
346 # probably needs to be modified to check if it really is ironport
347 # blarson 2008-09-22
348 # header XIRONPORT      X-IronPort-Anti-Spam-Filtered =~ /true/
349 # describe XIRONPORT    claims to be ironport filtered
350 # score XIRONPORT               2.5
351
352 # blarson 2008-10-13
353 header AUTORESPON       subject =~ /Auto_response/
354 describe AUTORESPON     Auto_response
355 score AUTORESPON        3
356
357 # blarson 2008-10-28
358 header XWUM             x-wum-to =~ /./
359 describe XWUM           X-WUM-TO
360 score XWUM              2
361
362 # cord 2008-10-31
363 # compensate false-positives for 140.Red-80-25-20.staticIP.rima-tde.net and stuff
364 header STATIC_RIMA_TDE  received =~ /staticIP\.rima-tde\.net/
365 describe STATIC_RIMA_TDE static IP from rima-tde.net
366 score STATIC_RIMA_TDE   -5
367
368 # cord 2008-11-30 # compensate LDO_SUBSCRIBER bonus for Forum2Mail-Gw
369 full NABBLE             /lists\@nabble\.com/
370 describe NABBLE         sent through nabble.com
371 score NABBLE            5
372
373 # don 2009-02-04
374 full HTML_NBSP          /(\ ){3,}/
375 describe HTML_NBSP      Lots of  
376 score HTML_NBSP         2
377
378 # blarson 2009-02-19
379 header ENTIST          subject =~ /(?:e.?entist|o.?ctor)/i
380 describe ENTIST                (D)entit/(D)octor
381 score ENTIST           2
382
383 header THREADTOPIC     thread-topic =~ /./i
384 describe THREADTOPIC   Has a thread topic header
385 score THREADTOPIC      2
386
387 # [2009-04-14 cord]
388 # replacing old aol-rules from rc.spam
389
390 header AOL_SPAM1        from =~ /[0-9].*\@([^\@]+\.)?aol\.com/i
391 describe AOL_SPAM1      possible AOL-pretending spam, matching rule 1
392 score AOL_SPAM1         1
393
394 header AOL_SPAM2        from =~ /...........*\@([^\@]+\.)?aol\.com/i
395 describe AOL_SPAM2      possible AOL-pretending spam, matching rule 2
396 score AOL_SPAM2         1
397
398 header AOL_SPAM3        from =~ /.?.?\@([^\@]+\.)?aol\.com/i
399 describe AOL_SPAM3      possible AOL-pretending spam, matching rule 3
400 score AOL_SPAM3         1
401
402 header AOL_SPAM4        from =~ /[^a-zA-Z0-9]+.*\@([^\@]+\.)?aol\.com/i
403 describe AOL_SPAM4      possible AOL-pretending spam, matching rule 4
404 score AOL_SPAM4         1
405
406 # blarson 2009-04-15
407 body WEBMAIL            /\bwebmail\b/i
408 describe WEBMAIL        webmail
409 score WEBMAIL           1
410
411 # blarson 2009-04-17
412 header REFNO            subject =~ /\bref no\b/i
413 describe REFNO          Ref No
414 score REFNO             2
415
416 # blarson 2009-05-26
417 header INFOCOUK         to =~ /\b(?:info|winner|loan|lotto|grant|win)\@(?:info\.|winner\.|loan\.|lotto\.|hotmail\.|grant\.|win\.|yahoo\.|)(?:co\.uk|net|com|org)\b/
418 describe INFOCOUK       to info@co.uk
419 score INFOCOUK          3
420
421 # blarson 2009-05-27
422 body EXITAT             /\b(?:exit|rembox)\@(?:datalistsource|listsourcesworld|BestAccurateReliable|expertdatasystems|bestbizlists)\.\b/i
423 describe EXITAT         exit@datalistsource.com
424 score EXITAT            3
425
426 # blarson 2009-06-05
427 header TOINFO           to =~ /\binfo\@/
428 describe TOINFO         to info@
429 score TOINFO            1
430
431 # don 2009-07-06
432 header CONSTCONTACT     X-Mailer =~ /Constant Contact/i
433 describe CONSTCONTACT   Mail comming from constant contact, which doesn't require double opt-in
434 score CONSTCONTACT      5
435
436 # blarson 2009-08-16
437 meta CTBDN              (CT_IMAGE && MIXEDBDN)
438 describe CTBDN          CT_IMAGE && MIXEDBDN
439 score CTBDN             0.5
440
441 # don 2009-09-22
442 body NUMEMAIL           /\d{3,}\s+emails?/i
443 describe NUMEMAIL       Mail which mentions some number of e-mail addresses
444 score NUMEMAIL          2
445
446 # don 2009-11-25
447 header YAHOOCALENDAR    X-Yahoo-Calendar-IId: =~ /./
448 describe YAHOOCALENDAR  Mail comming from yahoo calendar, which spams us with updates
449 score YAHOOCALENDAR     5
450
451 # alex 2009-12-05
452 header TLOTTERY            subject =~ /Ticket no: [0-9]+/i
453 describe TLOTTERY          Lottery spam
454 score TLOTTERY             3
455
456 # alex 2009-12-05
457 header GLOTTERY            subject =~ /Google_L_o_t_t_e_r_y_W_i_n_n_e_r_s/i
458 describe GLOTTERY          Google Lottery spam
459 score GLOTTERY             3
460
461 # alex 2009-12-16 
462 header DOTNET              subject =~ /Planning a Website Design\? Updates/
463 describe DOTNET            .NET Spam
464 score DOTNET               3
465
466 # blarson 2010-02-02
467 body REMBOX             /\b(?:rembo[xt]|disappear|stopping|delrem|remfiles?|exit|takemeoff|offthelist|purgefile)\s?\@/
468 describe REMBOX         rembox
469 score REMBOX            3
470
471 # formorer 2010-01-23
472 header LONGTO           to =~ /([\S]+, ){15,}/
473 describe LONGTO         very long To line
474 score LONGTO            3
475
476 # formorer 2010-01-25
477 header VAULAS           subject =~ /cursos video aulas video/i
478 describe VAULAS         some spanish video spam
479 score VAULAS            3
480
481 # blarson 2010-01-28
482 header FROMWWW          from =~ /\bwww\./i
483 describe FROMWWW        from www.whatever
484 score FROMWWW           3
485
486 # blarson 2010-02-16
487 header FROMCASINO       from =~ /\bcasino/i
488 describe FROMCASINO     from casino
489 score FROMCASINO        3
490
491 # don 2010-06-10
492 header CTOCTET_STREAM   Content-Type =~ /octet-stream/i
493 describe CTOCTET_STREAM Content type is octet-stream
494 score CTOCTET_STREAM    0.5
495
496 full RTF_ATTACH         /^Content-Disposition:.+name=.+\.(rtf|doc)/i
497 describe RTF_ATTACH     Contains an RTF or DOC Attachment
498 score RTF_ATTACH        2
499
500 meta RTF_SPAM           CTOCTET_STREAM && RTF_ATTACH
501 describe RTF_SPAM       Content type is octet-stream and has an RTF Attachment
502 score RTF_SPAM          3
503
504 # blarson 2010-10-11
505 header WORDDIGDIG      subject =~ /^\w{3,}\s+\d\s\d\s*$/
506 describe WORDDIGDIG    Word digit digit subject
507 score WORDDIGDIG       3
508
509 # don 2011-06-06
510 header BRACE_SUBJECT    Subject =~ /^\[\ [a-z0-9]{16}]\ /
511 describe BRACE_SUBJECT  16 length word in braces in the subject
512 score BRACE_SUBJECT     4
513
514 # formorer 2011-08-12
515 header COMPTESFR    subject =~ /concernant Compte SFR/i
516 describe COMPTESFR  concernant Compte SFR
517 score COMPTESFR     3
518