* make .com in scour optional
[spamassassin_config.git] / common / sare / 70_sare_header.cf
1 # SARE Header Abuse Ruleset for SpamAssassin -- file 0
2 # Version:  01.03.16
3 # Created:  2004-04-25
4 # Modified: 2005-10-28
5 # Usage instructions and documentation in 70_sare_header0.cf 
6
7 # Full Revision History / Change Log in 70_sare_header.log
8 #@@# 01.03.16  Oct 28 2005
9 #@@#           Minor score updates based on additional mass-check
10 #@@#           Added to file 0:          SARE_FRM_HOODIA
11 #@@#           Added to file 0:          SARE_HEAD_HDR_XIDSRVR
12 #@@#           Added to file 0:          SARE_RECV_IP_064069032
13 #@@#           Added to file 0:          SARE_RECV_IP_066059094
14 #@@#           Added to file 0:          SARE_RECV_IP_066159017
15 #@@#           Added to file 0:          SARE_RECV_IP_204010039
16 #@@#           Added to file 0:          SARE_XMAIL_LEO
17 #@@#           Moved file 0 to file 1:   SARE_BOUNDARY_LC
18 #@@#           Moved file 0 to file 1:   SARE_FREE_WEBM_FrVoila
19 #@@#           Moved file 0 to file 1:   SARE_HEAD_HDR_XBBOUNC
20 #@@#           Moved file 0 to file 1:   SARE_HEAD_XWORD
21 #@@#           Moved file 0 to file 1:   SARE_RECV_IP_066165224
22 #@@#           Moved file 0 to file 1:   SARE_RECV_IP_218088
23 #@@#           Moved file 0 to file 1:   SARE_XMAIL_TOLMAIL
24 #@@#           Moved file 0 to file 2:   SARE_RECV_IP_063111025
25 #@@#           Moved file 0 to file 2:   SARE_RECV_RANDOM
26 #@@#           Moved file 0 to file x31: SARE_MULT_RATW_02 to x31 file; RATWARE_NAME_ID is now in version 3.1.0
27 #@@#           Moved file 1 to file 0:   SARE_HEAD_XMIMEO_MS
28 #@@#           Moved file 1 to file 0:   SARE_RECV_IP_069060122
29 #@@#           Moved file 1 to file 0:   SARE_XMAIL_DYNAMAILER
30 #@@#           Moved file 2 to file 0:   SARE_HEAD_HDR_XE
31 #@@#           Replaced                  __SARE_HEAD_HDR_MIMEV in SARE_HEAD_MIME_INVALID with SA 2.60 rule __MIME_VERSION
32 #@@#           Replaced                  __SARE_HEAD_MAIL_BAT1 in SARE_HEAD_BAT_WEB with SA 3.1.0 rule __THEBAT_MUA
33
34 # License: Artistic - see http://www.rulesemporium.com/license.txt 
35 # Current Maintainer: Bob Menschel - RMSA@Menschel.net
36 # Current Home: http://www.rulesemporium.com/rules/70_sare_header0.cf 
37
38 # Usage:  This family of files, 70_sare_header*.cf, contain rules that test email headers 
39 #         (except the Subject header, which is handled in the 70_sare_genlsubj*.cf family of files). 
40 #
41 # File 0: 70_sare_header0.cf -- These are header rules that hit at least 10 spam and no ham. 
42 #         While SARE cannot guarantee they never will hit ham, they have not hit ham in any SARE mass-check, against tens of thousands of ham.
43 #         This is a rules file we expect any/all email systems using SpamAssassin to benefit from. 
44 #
45 # File 1: 70_sare_header1.cf -- These are header rules that meet one of the follow criteria: 
46 #         a) Rules that do, or in the past have hit ham during SARE mass-check tests 
47 #         b) Rules that hit no ham and currently do not hit more than 10 spam in any single mass-check run. 
48 #         If the rules hit ham, they hit at last 10 spam to each 1 ham. 
49 #         With few exceptions these rules score significantly less than the rules in file 0. 
50 #         Systems which are very sensitive to false positives and/or need to be very careful about resource use may want to exclude this ruleset, 
51 #         pick and choose among its rules, or lower their scores.
52 #         Systems that use this file 1 should ALSO use file 0. 
53 #
54 # File 2: 70_sare_header2.cf -- These header rules hit no spam at this time, but they are considered "safe" rules that should never hit ham.
55 #         These are primarily rules that test for specific headers seen only in spam, or similar types of "pretty darn sure" rules. 
56 #         Systems which are very sensitive to SpamAssassin overhead may want to exclude this ruleset file to avoid its overhead, 
57 #         but systems with plenty of resources that want to be aggressive against spam may benefit from this ruleset file.
58 #
59 # File 3: 70_sare_header3.cf -- These are header rules that hit a significant amount of ham during SARE mass-check tests. 
60 #         Systems which are very sensitive to false positives or to SA resource usage should NOT install this ruleset. 
61 #
62 # File 4: 70_sare_header4.cf -- These are header rules that meet one of the following criteria: 
63 #         a) They hit over 100 ham during SARE mass-check tests, but still hit enough spam to be worth while to aggressively anti-spam systems. 
64 #         b) They hit no emails at this time, but have been recommended by anti-spam sources (such as rules developed from Spam-L list reports).
65 #         Again, systems which are very sensitive to false positives or to SA resource usage should NOT install this ruleset. 
66 #
67 # eng:    70_sare_header_eng.cf -- These are header rules which work well within the English language, but are liable to cause false
68 #         positives in other languages. They include rules which test for letter combinations and encoded header headers. Systems that
69 #         receive ham in languages other than English should NOT use this file. 
70 #
71 # x264_x30: 70_sare_header_x264_x30.cf -- These are header rules which have been incorporated into both SpamAssassin 2.64 and 3.0.x, 
72 #         or which duplicate or greatly overlap both 3.0.x rules. 
73 #         Systems which have installed SpamAssassin version 2.64 or 3.0.x should therefore NOT use this file.
74 #
75 # x30:    70_sare_header_x30.cf -- These are header rules which have been incorporated into SpamAssassin 3.0.x, 
76 #         or which duplicate or greatly overlap 3.0.x rules. 
77 #         Systems which have installed SpamAssassin 3.0.x should therefore NOT use this file.
78 #
79 # arc:    70_sare_header_arc.cf -- These are header rules that once were published in other files, but which have since lost all value.
80 #         They either hit too much ham (without hitting enough spam to make it worth while), or they don't hit any spam. 
81 #         SARE regularly runs mass-checks on these rules to see if any of them are worth reviving, but 
82 #         we expect that nobody will be running these rules in any production system. 
83
84 ########  ######################   ##################################################
85 #    Component rules used within meta rules 
86 ########  ######################   ##################################################
87
88 header    __SARE_HEAD_8BIT_SUBJ    Subject =~ /[\x80-\xff]{3,}/
89 #counts   __SARE_HEAD_8BIT_SUBJ    17149s/110h of 238550 corpus (112525s/126025h RM) 02/28/05
90 #counts   __SARE_HEAD_8BIT_SUBJ    3478s/2h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
91 #counts   __SARE_HEAD_8BIT_SUBJ    2s/1h of 26190 corpus (22790s/3400h MY) 02/15/05
92
93 ########  ######################   ##################################################
94 #    Meta rules used to prevent --lint errors after moving/changing rules
95 ########  ######################   ##################################################
96
97 meta      SARE_HEAD_HDR_APPROV     0  
98 meta      SARE_HEAD_HDR_CONVWLS    0  
99 meta      SARE_HEAD_HDR_DISCREC    0  
100 meta      SARE_HEAD_HDR_XENC       0  
101 meta      SARE_HEAD_HDR_XENVID     0  
102 meta      SARE_HEAD_HDR_XMAILID    0  
103 meta      SARE_HEAD_HDR_XTID       0  
104 meta      SARE_FROM_PRINTER        0  
105 meta      SARE_FROM_DEBT           0  
106 meta      SARE_FROM_DVDCOPY        0  
107 meta      SARE_FROM_SPAM_CHAR0     0  
108 meta      SARE_FREE_WEBM_Jpop      0  
109 meta      SARE_FREE_WEBM_NETCITY   0  
110 meta      SARE_FREE_WEBM_ZCom03    0  
111 meta      SARE_MSGID_LONG          0  
112 meta      SARE_HELO_YAHOO          0  
113 meta      SARE_RECV_SPAM_DOMN0a    0  
114 meta      SARE_RECV_SPAM_DOMN02    0  
115 meta      SARE_RECV_VIRTUACOMBR    0  
116 meta      SARE_RECV_IP_066111      0  
117 meta      SARE_RECV_IP_081019      0  
118 meta      SARE_RECV_IP_082154      0  
119 meta      SARE_RECV_IP_195229      0  
120 meta      SARE_RECV_IP_200150      0  
121 meta      SARE_RECV_IP_218216      0  
122 meta      SARE_RECV_IP_222000      0  
123 meta      SARE_RECV_IP_222126      0  
124 meta      SARE_XMAIL_PSSMAILER     0  
125 meta      SARE_XMAIL_RLSP          0  
126 meta      SARE_MULT_VIA_CITIZNET   0  
127 meta      SARE_FROM_SUPPORT_DIG    0  
128 meta      SARE_TOCC_BCC_MANY       0  
129 meta      SARE_HEAD_HDR_EPATH      0  
130 meta      SARE_HEAD_HDR_XAR        0  
131 meta      SARE_HEAD_HDR_XNOSPAM    0  
132 meta      SARE_FROM_QUOTE          0  
133 meta      SARE_FROM_SPACE2         0  
134 meta      SARE_MSGID_EMPTY         0  
135 meta      SARE_RECV_SPAM_DOMN81    0  
136 meta      SARE_RECV_SPAM_NAME0     0  
137 meta      SARE_FROM_SPAM_NAME0     0  
138 meta      SARE_HEAD_HDR_XAUTOGN    0  
139 meta      SARE_HEAD_HDR_XCCDIAG    0  
140 meta      SARE_HEAD_HDR_XMLFILT    0  
141 meta      SARE_HELO_MAIL           0  
142 meta      SARE_HEAD_HDR_XACWGHT    0  
143 meta      SARE_HEAD_HDR_XMCAVTP    0  
144 meta      SARE_USERAG_Dig          0  
145 meta      SARE_HEAD_HDR_XUNOLOOK   0  
146 meta      SARE_MSGID_2KDD          0  
147 meta      SARE_REPLY_SPAMWORD0     0  
148 meta      SARE_FROM_SPAM_WORD0     0  
149 meta      SARE_TOCC_COMBO1         0  
150 meta      SARE_FROM_UK2NET2        0  
151 meta      SARE_FREE_WEBM_NetSafe   0  
152 meta      SARE_FREE_WEBM_ZCom02    0  
153 meta      SARE_RECV_SKANOVA        0  
154 meta      SARE_RECV_IP_061050      0  
155 meta      SARE_RECV_IP_140117      0  
156 meta      SARE_RECV_IP_211216      0  
157 meta      SARE_TO_EMPTY            0  
158 meta      SARE_HEAD_8BIT_SPAM      0  
159 meta      SARE_RECV_SPAM_DOMN3     0  
160 meta      SARE_BOUNDARY_D8         0 
161 meta      SARE_HEAD_HDR_XCONTAC    0            
162 meta      SARE_RECV_IP_066114b     0
163 meta      SARE_BOUNDARY_05         0
164 meta      SARE_BOUNDARY_06         0
165 meta      SARE_FREE_WEBM_ZZa001    0
166 meta      SARE_FROM_CAPS_MSN       0
167 meta      SARE_FROM_NUM_9DIG       0
168 meta      SARE_FROM_SPAM_DOMN0     0
169 meta      SARE_FROM_SPAM_PL1       0
170 meta      SARE_HEAD_8BIT_DATE      0
171 meta      SARE_HEAD_8BIT_NOSPM     0
172 meta      SARE_HEAD_DATE14         0
173 meta      SARE_HEAD_DATE_5L        0
174 meta      SARE_HEAD_HDR_XLISTAD    0
175 meta      SARE_HEAD_HDR_XRIPE      0
176 meta      SARE_HEAD_HDR_XWTID      0
177 meta      SARE_HEAD_HDR_XWTVERS    0
178 meta      SARE_HELO_SERVER         0
179 meta      SARE_MSGID_D1D1D2D16     0
180 meta      SARE_RECV_BEZEQINT_B     0
181 meta      SARE_RECV_IP_061072      0
182 meta      SARE_RECV_IP_061190      0
183 meta      SARE_RECV_IP_061228      0
184 meta      SARE_RECV_IP_062023      0
185 meta      SARE_RECV_IP_192116      0
186 meta      SARE_RECV_IP_203177      0
187 meta      SARE_RECV_IP_218078      0
188 meta      SARE_RECV_IP_221124      0
189 meta      SARE_RECV_IP_222064      0
190 meta      SARE_RECV_ISWEST         0
191 meta      SARE_RECV_PATMEDIA       0
192 meta      SARE_BOUNDARY_NP2        0
193 meta      SARE_CONTENT_BITBITNUM   0
194 meta      SARE_FROM_VIRUS1         0
195 meta      SARE_HEAD_HDR_JLH        0
196 meta      SARE_HEAD_HDR_RTNPATH    0
197 meta      SARE_MULT_RATW_03        0
198 meta      SARE_RECV_IP_064192191   0
199 meta      SARE_BOUNDARY_D10        0
200 meta      SARE_HEAD_HDR_XMAILTH    0
201 meta      SARE_HEAD_HDR_XMLRSRV    0
202 meta      SARE_HEAD_HDR_XSMTPSV    0
203 meta      SARE_HEAD_HDR_XUMAIL     0
204 meta      SARE_MSGID_LONG50        0
205 meta      SARE_RECV_SPAM_DOMN04    0
206 meta      SARE_XMAIL_GOMAIL        0
207 meta      SARE_HEAD_8BIT_RECV      0
208 meta      SARE_RECV_FEP5           0
209 meta      SARE_RECV_IP_203210128   0
210 meta      SARE_RECV_SPAM_DOMN06    0
211 meta      SARE_FREE_WEBM_ZCom05    0
212 meta      SARE_HEAD_XUNSENT        0
213 meta      SARE_RECV_IP_069050210   0
214 meta      SARE_RECV_IP_206131      0
215 meta      SARE_RECV_IP_206248152   0
216 meta      SARE_RECV_PORTHELO_1     0
217 meta      SARE_RECV_PORTHELO_2     0
218 meta      SARE_RECV_PORTHELO_3     0
219 meta      SARE_RECV_CHAR_CARAT     0
220 meta      SARE_MULT_RATW_02        0
221 meta      SARE_BOUNDARY_LC         0
222 meta      SARE_FREE_WEBM_FrVoila   0
223 meta      SARE_RECV_IP_066165224   0
224 meta      SARE_RECV_IP_218088      0
225 meta      SARE_XMAIL_TOLMAIL       0
226 meta      SARE_RECV_IP_063111025   0
227 meta      SARE_RECV_RANDOM         0
228 meta      SARE_BOUNDARY_LC         0
229 meta      SARE_FREE_WEBM_FrVoila   0
230 meta      SARE_HEAD_XWORD          0
231 meta      SARE_RECV_IP_066165224   0
232 meta      SARE_RECV_IP_218088      0
233 meta      SARE_XMAIL_TOLMAIL       0
234 meta      SARE_RECV_IP_063111025   0
235 meta      SARE_RECV_RANDOM         0
236 meta      SARE_MULT_RATW_02        0
237 meta      SARE_HEAD_HDR_XBBOUNC    0
238 meta      SARE_RECV_IP_071004246   0
239
240 #####################################################################################
241 #         SARE Header-Exists rules
242 ########  ######################   ##################################################
243
244 header    SARE_HEAD_HDR_CONVER     exists:Conversion
245 describe  SARE_HEAD_HDR_CONVER     Message headers used which identify spam
246 score     SARE_HEAD_HDR_CONVER     1.111 
247 #stype    SARE_HEAD_HDR_CONVER     spamp
248 #counts   SARE_HEAD_HDR_CONVER     12s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
249 #max      SARE_HEAD_HDR_CONVER     54s/0h of 275081 corpus (134226s/140855h RM) 05/30/05
250 #counts   SARE_HEAD_HDR_CONVER     0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
251 #counts   SARE_HEAD_HDR_CONVER     9s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
252 #max      SARE_HEAD_HDR_CONVER     10s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
253 #counts   SARE_HEAD_HDR_CONVER     5s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
254 #counts   SARE_HEAD_HDR_CONVER     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
255 #counts   SARE_HEAD_HDR_CONVER     0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
256
257 header    SARE_HEAD_HDR_DISPNOP    exists:Disposition-Notification-Options
258 describe  SARE_HEAD_HDR_DISPNOP    Message headers used which identify spam
259 score     SARE_HEAD_HDR_DISPNOP    1.111
260 #stype    SARE_HEAD_HDR_DISPNOP    spamp
261 #counts   SARE_HEAD_HDR_DISPNOP    16s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
262 #max      SARE_HEAD_HDR_DISPNOP    60s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
263 #counts   SARE_HEAD_HDR_DISPNOP    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
264 #counts   SARE_HEAD_HDR_DISPNOP    11s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
265 #max      SARE_HEAD_HDR_DISPNOP    13s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
266 #counts   SARE_HEAD_HDR_DISPNOP    2s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
267 #max      SARE_HEAD_HDR_DISPNOP    14s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
268 #counts   SARE_HEAD_HDR_DISPNOP    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
269
270 header    SARE_HEAD_HDR_LANG       exists:Language
271 describe  SARE_HEAD_HDR_LANG       Message headers used which identify spam
272 score     SARE_HEAD_HDR_LANG       1.666
273 #stype    SARE_HEAD_HDR_LANG       spamp
274 #counts   SARE_HEAD_HDR_LANG       122s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
275 #max      SARE_HEAD_HDR_LANG       413s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
276 #counts   SARE_HEAD_HDR_LANG       78s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
277 #max      SARE_HEAD_HDR_LANG       86s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
278 #counts   SARE_HEAD_HDR_LANG       1s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
279 #max      SARE_HEAD_HDR_LANG       3s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
280 #counts   SARE_HEAD_HDR_LANG       19s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
281 #max      SARE_HEAD_HDR_LANG       42s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
282 #counts   SARE_HEAD_HDR_LANG       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
283
284 header    SARE_HEAD_HDR_NLETRID    exists:Newsletter-ID
285 describe  SARE_HEAD_HDR_NLETRID    Message headers used which identify spam
286 score     SARE_HEAD_HDR_NLETRID    1.666
287 #stype    SARE_HEAD_HDR_NLETRID    spamp
288 #counts   SARE_HEAD_HDR_NLETRID    0s/0h of 259338 corpus (110116s/149222h RM) 05/16/05
289 #max      SARE_HEAD_HDR_NLETRID    173s/0h of 96329 corpus (59684s/36645h RM) 02/04/05
290 #counts   SARE_HEAD_HDR_NLETRID    0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
291 #max      SARE_HEAD_HDR_NLETRID    1s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
292 #counts   SARE_HEAD_HDR_NLETRID    28s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
293 #counts   SARE_HEAD_HDR_NLETRID    0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
294 #max      SARE_HEAD_HDR_NLETRID    12s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
295 #counts   SARE_HEAD_HDR_NLETRID    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
296
297 header    SARE_HEAD_HDR_PID        exists:PID
298 describe  SARE_HEAD_HDR_PID        Message headers used which identify spam
299 score     SARE_HEAD_HDR_PID        1.666
300 #stype    SARE_HEAD_HDR_PID        spamp
301 #counts   SARE_HEAD_HDR_PID        1s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
302 #max      SARE_HEAD_HDR_PID        139s/0h of 96329 corpus (59684s/36645h RM) 02/04/05
303 #counts   SARE_HEAD_HDR_PID        0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
304 #counts   SARE_HEAD_HDR_PID        36s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
305 #counts   SARE_HEAD_HDR_PID        0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
306 #max      SARE_HEAD_HDR_PID        20s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
307 #counts   SARE_HEAD_HDR_PID        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
308
309 header    SARE_HEAD_HDR_PREVNDR    exists:Prevent-NonDelivery-Report
310 describe  SARE_HEAD_HDR_PREVNDR    Message headers used which identify spam
311 score     SARE_HEAD_HDR_PREVNDR    1.666
312 #stype    SARE_HEAD_HDR_PREVNDR    spamp
313 #counts   SARE_HEAD_HDR_PREVNDR    19s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
314 #max      SARE_HEAD_HDR_PREVNDR    129s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
315 #counts   SARE_HEAD_HDR_PREVNDR    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
316 #counts   SARE_HEAD_HDR_PREVNDR    18s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
317 #max      SARE_HEAD_HDR_PREVNDR    20s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
318 #counts   SARE_HEAD_HDR_PREVNDR    6s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
319 #max      SARE_HEAD_HDR_PREVNDR    21s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
320 #counts   SARE_HEAD_HDR_PREVNDR    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
321
322 header    SARE_HEAD_HDR_XBNCETR    exists:X-BounceTrace
323 describe  SARE_HEAD_HDR_XBNCETR    Message headers used which identify spam
324 score     SARE_HEAD_HDR_XBNCETR    1.111
325 #stype    SARE_HEAD_HDR_XBNCETR    spamp
326 #counts   SARE_HEAD_HDR_XBNCETR    96s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
327 #counts   SARE_HEAD_HDR_XBNCETR    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
328 #counts   SARE_HEAD_HDR_XBNCETR    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
329 #counts   SARE_HEAD_HDR_XBNCETR    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
330 #counts   SARE_HEAD_HDR_XBNCETR    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
331
332 header    SARE_HEAD_HDR_XCAMPIDZ   exists:X-Campidz
333 describe  SARE_HEAD_HDR_XCAMPIDZ   Message headers used which identify spam
334 score     SARE_HEAD_HDR_XCAMPIDZ   2.333
335 #stype    SARE_HEAD_HDR_XCAMPIDZ   spamp
336 #counts   SARE_HEAD_HDR_XCAMPIDZ   2171s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
337 #counts   SARE_HEAD_HDR_XCAMPIDZ   0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
338 #counts   SARE_HEAD_HDR_XCAMPIDZ   9s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
339 #counts   SARE_HEAD_HDR_XCAMPIDZ   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
340 #counts   SARE_HEAD_HDR_XCAMPIDZ   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
341
342 header    SARE_HEAD_HDR_XCLIHST    exists:X-ClientHost
343 describe  SARE_HEAD_HDR_XCLIHST    Message headers used which identify spam
344 score     SARE_HEAD_HDR_XCLIHST    2.888
345 #stype    SARE_HEAD_HDR_XCLIHST    spamp
346 #counts   SARE_HEAD_HDR_XCLIHST    7465s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
347 #counts   SARE_HEAD_HDR_XCLIHST    2s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
348 #counts   SARE_HEAD_HDR_XCLIHST    19s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
349 #counts   SARE_HEAD_HDR_XCLIHST    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
350 #counts   SARE_HEAD_HDR_XCLIHST    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
351
352 header    SARE_HEAD_HDR_XE         exists:X-E
353 describe  SARE_HEAD_HDR_XE         Message headers used which identify spam
354 score     SARE_HEAD_HDR_XE         1.666
355 #counts   SARE_HEAD_HDR_XE         810s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
356 #counts   SARE_HEAD_HDR_XE         0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
357 #counts   SARE_HEAD_HDR_XE         0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
358 #counts   SARE_HEAD_HDR_XE         0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
359 #counts   SARE_HEAD_HDR_XE         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
360
361 header    SARE_HEAD_HDR_XCSIP      exists:X-CS-IP
362 describe  SARE_HEAD_HDR_XCSIP      Message headers used which identify spam
363 score     SARE_HEAD_HDR_XCSIP      1.666
364 #stype    SARE_HEAD_HDR_XCSIP      spamp
365 #hist     SARE_HEAD_HDR_XCSIP      FH_HAS_CS_IP
366 #counts   SARE_HEAD_HDR_XCSIP      155s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
367 #max      SARE_HEAD_HDR_XCSIP      590s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
368 #counts   SARE_HEAD_HDR_XCSIP      101s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
369 #max      SARE_HEAD_HDR_XCSIP      127s/0h of 54840 corpus (17664s/37176h JH-3.01) 03/13/05
370 #counts   SARE_HEAD_HDR_XCSIP      1s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
371 #max      SARE_HEAD_HDR_XCSIP      136s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
372 #counts   SARE_HEAD_HDR_XCSIP      13s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
373 #max      SARE_HEAD_HDR_XCSIP      98s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
374 #counts   SARE_HEAD_HDR_XCSIP      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
375
376 header    SARE_HEAD_HDR_XEMAIL     exists:X-EMail
377 describe  SARE_HEAD_HDR_XEMAIL     Message headers used which identify spam
378 score     SARE_HEAD_HDR_XEMAIL     1.666
379 #stype    SARE_HEAD_HDR_XEMAIL     spamp
380 #counts   SARE_HEAD_HDR_XEMAIL     841s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
381 #counts   SARE_HEAD_HDR_XEMAIL     0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
382 #counts   SARE_HEAD_HDR_XEMAIL     0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
383 #counts   SARE_HEAD_HDR_XEMAIL     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
384 #counts   SARE_HEAD_HDR_XEMAIL     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
385
386 header    SARE_HEAD_HDR_XENCVER    exists:X-Encoding-Version
387 describe  SARE_HEAD_HDR_XENCVER    Message headers used which identify spam
388 score     SARE_HEAD_HDR_XENCVER    1.666
389 #stype    SARE_HEAD_HDR_XENCVER    spamp
390 #counts   SARE_HEAD_HDR_XENCVER    306s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
391 #counts   SARE_HEAD_HDR_XENCVER    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
392 #counts   SARE_HEAD_HDR_XENCVER    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
393 #counts   SARE_HEAD_HDR_XENCVER    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
394 #counts   SARE_HEAD_HDR_XENCVER    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
395
396 header    SARE_HEAD_HDR_XFIND      exists:X-Find
397 describe  SARE_HEAD_HDR_XFIND      Message headers used which identify spam
398 score     SARE_HEAD_HDR_XFIND      1.666
399 #stype    SARE_HEAD_HDR_XFIND      spamp
400 #counts   SARE_HEAD_HDR_XFIND      306s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
401 #counts   SARE_HEAD_HDR_XFIND      0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
402 #counts   SARE_HEAD_HDR_XFIND      0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
403 #counts   SARE_HEAD_HDR_XFIND      0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
404 #counts   SARE_HEAD_HDR_XFIND      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
405
406 header    SARE_HEAD_HDR_XGMAILA    exists:X-Gmail-Account
407 describe  SARE_HEAD_HDR_XGMAILA    Message headers used which identify spam
408 score     SARE_HEAD_HDR_XGMAILA    1.111
409 #stype    SARE_HEAD_HDR_XGMAILA    spamp
410 #counts   SARE_HEAD_HDR_XGMAILA    3s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
411 #max      SARE_HEAD_HDR_XGMAILA    20s/0h of 259338 corpus (110116s/149222h RM) 05/16/05
412 #counts   SARE_HEAD_HDR_XGMAILA    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
413 #counts   SARE_HEAD_HDR_XGMAILA    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
414 #counts   SARE_HEAD_HDR_XGMAILA    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
415 #counts   SARE_HEAD_HDR_XGMAILA    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
416
417 header    SARE_HEAD_HDR_XGMXAV     exists:X-GMX-Antivirus
418 describe  SARE_HEAD_HDR_XGMXAV     Message headers used which identify spam
419 score     SARE_HEAD_HDR_XGMXAV     1.666 
420 #counts   SARE_HEAD_HDR_XGMXAV     171s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
421 #max      SARE_HEAD_HDR_XGMXAV     199s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
422 #counts   SARE_HEAD_HDR_XGMXAV     0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
423 #max      SARE_HEAD_HDR_XGMXAV     33s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
424 #counts   SARE_HEAD_HDR_XGMXAV     7s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
425 #max      SARE_HEAD_HDR_XGMXAV     10s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
426 #counts   SARE_HEAD_HDR_XGMXAV     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
427 #counts   SARE_HEAD_HDR_XGMXAV     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
428
429 header    SARE_HEAD_HDR_XIDSRVR    exists:X-Identity-Server
430 describe  SARE_HEAD_HDR_XIDSRVR    Message headers used which identify spam
431 score     SARE_HEAD_HDR_XIDSRVR    1.111
432 #stype    SARE_HEAD_HDR_XIDSRVR    spamp
433 #hist     SARE_HEAD_HDR_XIDSRVR    Bob Menschel, June 3 2005, idea by Alex Broens
434 #counts   SARE_HEAD_HDR_XIDSRVR    15s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
435 #counts   SARE_HEAD_HDR_XIDSRVR    0s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
436 #counts   SARE_HEAD_HDR_XIDSRVR    0s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
437 #counts   SARE_HEAD_HDR_XIDSRVR    0s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
438 #counts   SARE_HEAD_HDR_XIDSRVR    0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
439
440 header    SARE_HEAD_HDR_XRMDTXT    exists:X-RMD-Text
441 describe  SARE_HEAD_HDR_XRMDTXT    Message headers used which identify spam
442 score     SARE_HEAD_HDR_XRMDTXT    1.111
443 #stype    SARE_HEAD_HDR_XRMDTXT    spamp
444 #counts   SARE_HEAD_HDR_XRMDTXT    33s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
445 #counts   SARE_HEAD_HDR_XRMDTXT    0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
446 #max      SARE_HEAD_HDR_XRMDTXT    1s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
447 #counts   SARE_HEAD_HDR_XRMDTXT    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
448 #counts   SARE_HEAD_HDR_XRMDTXT    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
449 #counts   SARE_HEAD_HDR_XRMDTXT    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
450
451 header    SARE_HEAD_HDR_XRMVADR    exists:X-Remove-Address
452 describe  SARE_HEAD_HDR_XRMVADR    Message headers used which identify spam
453 score     SARE_HEAD_HDR_XRMVADR    1.111
454 #stype    SARE_HEAD_HDR_XRMVADR    spamp
455 #counts   SARE_HEAD_HDR_XRMVADR    38s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
456 #max      SARE_HEAD_HDR_XRMVADR    42s/0h of 275081 corpus (134226s/140855h RM) 05/30/05
457 #counts   SARE_HEAD_HDR_XRMVADR    1s/0h of 6924 corpus (1403s/5521h ft) 07/27/05
458 #counts   SARE_HEAD_HDR_XRMVADR    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
459 #counts   SARE_HEAD_HDR_XRMVADR    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
460 #counts   SARE_HEAD_HDR_XRMVADR    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
461 #counts   SARE_HEAD_HDR_XRMVADR    1s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
462
463 header    SARE_HEAD_HDR_XRSPCID    exists:X-Responder-CID
464 describe  SARE_HEAD_HDR_XRSPCID    Message headers used which identify spam
465 score     SARE_HEAD_HDR_XRSPCID    1.111
466 #stype    SARE_HEAD_HDR_XRSPCID    spamp
467 #counts   SARE_HEAD_HDR_XRSPCID    25s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
468 #counts   SARE_HEAD_HDR_XRSPCID    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
469 #counts   SARE_HEAD_HDR_XRSPCID    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
470 #counts   SARE_HEAD_HDR_XRSPCID    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
471 #counts   SARE_HEAD_HDR_XRSPCID    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
472
473 header    SARE_HEAD_HDR_XRSPRID    exists:X-Responder-ID
474 describe  SARE_HEAD_HDR_XRSPRID    Message headers used which identify spam
475 score     SARE_HEAD_HDR_XRSPRID    1.111
476 #stype    SARE_HEAD_HDR_XRSPRID    spamp
477 #counts   SARE_HEAD_HDR_XRSPRID    71s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
478 #counts   SARE_HEAD_HDR_XRSPRID    2s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
479 #counts   SARE_HEAD_HDR_XRSPRID    1s/0h of 6924 corpus (1403s/5521h ft) 07/27/05
480 #counts   SARE_HEAD_HDR_XRSPRID    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
481 #counts   SARE_HEAD_HDR_XRSPRID    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
482 #counts   SARE_HEAD_HDR_XRSPRID    1s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
483
484 header    SARE_HEAD_HDR_XRSPUSR    exists:X-Responder-USR
485 describe  SARE_HEAD_HDR_XRSPUSR    Message headers used which identify spam
486 score     SARE_HEAD_HDR_XRSPUSR    1.111
487 #stype    SARE_HEAD_HDR_XRSPUSR    spamp
488 #counts   SARE_HEAD_HDR_XRSPUSR    25s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
489 #counts   SARE_HEAD_HDR_XRSPUSR    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
490 #counts   SARE_HEAD_HDR_XRSPUSR    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
491 #counts   SARE_HEAD_HDR_XRSPUSR    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
492 #counts   SARE_HEAD_HDR_XRSPUSR    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
493
494 header    SARE_HEAD_HDR_XSPAMTST   exists:X-SpamTest-Info
495 describe  SARE_HEAD_HDR_XSPAMTST   Message headers used which identify spam
496 score     SARE_HEAD_HDR_XSPAMTST   1.111
497 #stype    SARE_HEAD_HDR_XSPAMTST   spamp
498 #hist     SARE_HEAD_HDR_XSPAMTST   Bob Menschel, May 14, 2005
499 #counts   SARE_HEAD_HDR_XSPAMTST   43s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
500 #max      SARE_HEAD_HDR_XSPAMTST   57s/0h of 298277 corpus (136400s/161877h RM) 06/06/05
501 #counts   SARE_HEAD_HDR_XSPAMTST   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
502 #counts   SARE_HEAD_HDR_XSPAMTST   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
503 #counts   SARE_HEAD_HDR_XSPAMTST   0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
504
505 header    SARE_HEAD_HDR_XSPTRID    exists:X-SP-Track-ID
506 describe  SARE_HEAD_HDR_XSPTRID    Message headers used which identify spam
507 score     SARE_HEAD_HDR_XSPTRID    1.666
508 #stype    SARE_HEAD_HDR_XSPTRID    spamp
509 #hist     SARE_HEAD_HDR_XSPTRID    FH_XSPTRACK
510 #counts   SARE_HEAD_HDR_XSPTRID    593s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
511 #counts   SARE_HEAD_HDR_XSPTRID    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
512 #counts   SARE_HEAD_HDR_XSPTRID    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
513 #counts   SARE_HEAD_HDR_XSPTRID    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
514 #counts   SARE_HEAD_HDR_XSPTRID    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
515
516 header    SARE_HEAD_HDR_XUOLSRV    exists:X-UOL-Srv
517 describe  SARE_HEAD_HDR_XUOLSRV    Message headers used which identify spam
518 score     SARE_HEAD_HDR_XUOLSRV    1.111
519 #stype    SARE_HEAD_HDR_XUOLSRV    spamp
520 #counts   SARE_HEAD_HDR_XUOLSRV    23s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
521 #counts   SARE_HEAD_HDR_XUOLSRV    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
522 #counts   SARE_HEAD_HDR_XUOLSRV    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
523 #counts   SARE_HEAD_HDR_XUOLSRV    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
524 #counts   SARE_HEAD_HDR_XUOLSRV    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
525
526 header    SARE_HEAD_HDR_XWCMID     exists:X-WCMailID
527 describe  SARE_HEAD_HDR_XWCMID     Message headers used which identify spam
528 score     SARE_HEAD_HDR_XWCMID     2.222
529 #counts   SARE_HEAD_HDR_XWCMID     1011s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
530 #counts   SARE_HEAD_HDR_XWCMID     0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
531 #counts   SARE_HEAD_HDR_XWCMID     0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
532 #counts   SARE_HEAD_HDR_XWCMID     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
533 #counts   SARE_HEAD_HDR_XWCMID     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
534
535 header    SARE_HEAD_HDR_XWEBMTM    exists:X-Webmail-Time
536 describe  SARE_HEAD_HDR_XWEBMTM    Message headers used which identify spam
537 score     SARE_HEAD_HDR_XWEBMTM    1.666
538 #stype    SARE_HEAD_HDR_XWEBMTM    spamp
539 #counts   SARE_HEAD_HDR_XWEBMTM    237s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
540 #max      SARE_HEAD_HDR_XWEBMTM    351s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
541 #counts   SARE_HEAD_HDR_XWEBMTM    0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
542 #max      SARE_HEAD_HDR_XWEBMTM    78s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
543 #counts   SARE_HEAD_HDR_XWEBMTM    100s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
544 #max      SARE_HEAD_HDR_XWEBMTM    112s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
545 #counts   SARE_HEAD_HDR_XWEBMTM    1s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
546 #max      SARE_HEAD_HDR_XWEBMTM    41s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
547 #counts   SARE_HEAD_HDR_XWEBMTM    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
548
549 #####################################################################################
550 #         SARE Content-Type and Boundary rules
551 ########  ######################   ##################################################
552
553 header    SARE_BOUNDARY_02         Content-Type =~ /boundary\=('|\")?\~{10,}/
554 describe  SARE_BOUNDARY_02         Too many ~'s in the boundary.
555 score     SARE_BOUNDARY_02         0.650
556 #hist     SARE_BOUNDARY_02         MY_BOUNDARY2
557 #counts   SARE_BOUNDARY_02         37s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
558 #max      SARE_BOUNDARY_02         51s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
559 #counts   SARE_BOUNDARY_02         0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
560 #counts   SARE_BOUNDARY_02         0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
561 #counts   SARE_BOUNDARY_02         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
562
563 header    SARE_BOUNDARY_03         Content-Type =~ /boundary="-{10}[A-F0-9]{20,}"/
564 describe  SARE_BOUNDARY_03         Content type boundary used in spam or virus
565 score     SARE_BOUNDARY_03         1.666
566 #stype    SARE_BOUNDARY_03         spamp
567 #hist     SARE_BOUNDARY_03         Created by Bob Menschel May 31 2004
568 #counts   SARE_BOUNDARY_03         59s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
569 #max      SARE_BOUNDARY_03         132s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
570 #counts   SARE_BOUNDARY_03         0s/0h of 13447 corpus (11336s/2111h MY) 06/02/04
571 #counts   SARE_BOUNDARY_03         590s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
572 #counts   SARE_BOUNDARY_03         0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
573 #counts   SARE_BOUNDARY_03         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
574
575 header    SARE_BOUNDARY_10         Content-Type =~ /boundary=\"----[a-z\d]{10}-[\w\.]+\"$/is
576 describe  SARE_BOUNDARY_10         Possible spam flag
577 score     SARE_BOUNDARY_10         2.333
578 #hist     SARE_BOUNDARY_10         Loren Wilton, Feb 21 2005
579 #counts   SARE_BOUNDARY_10         1831s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
580 #max      SARE_BOUNDARY_10         2495s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
581 #counts   SARE_BOUNDARY_10         117s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
582 #counts   SARE_BOUNDARY_10         0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
583 #counts   SARE_BOUNDARY_10         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
584 #counts   SARE_BOUNDARY_10         0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
585
586 header    SARE_BOUNDARY_11         Content-Type =~ /boundary=\"--\d{2,7}-\d{2,7}-\d{2,7}\"/
587 score     SARE_BOUNDARY_11         1.344
588 describe  SARE_BOUNDARY_11         Possible spam flag
589 #hist     SARE_BOUNDARY_11         Loren Wilton, Feb 21 2005
590 #counts   SARE_BOUNDARY_11         77s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
591 #max      SARE_BOUNDARY_11         125s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
592 #counts   SARE_BOUNDARY_11         17s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
593 #counts   SARE_BOUNDARY_11         38s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
594 #counts   SARE_BOUNDARY_11         1s/0h of 2500 corpus (531s/1969h ft) 05/17/05
595 #counts   SARE_BOUNDARY_11         0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
596
597 header    SARE_BOUNDARY_12         Content-Type =~ /boundary=\"--[a-z]+\d+[a-z]+"/ # no /i
598 describe  SARE_BOUNDARY_12         Possible spam flag
599 score     SARE_BOUNDARY_12         1.666
600 #hist     SARE_BOUNDARY_12         Loren Wilton, Feb 21 2005
601 #counts   SARE_BOUNDARY_12         60s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
602 #max      SARE_BOUNDARY_12         288s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
603 #counts   SARE_BOUNDARY_12         27s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
604 #counts   SARE_BOUNDARY_12         41s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
605 #max      SARE_BOUNDARY_12         45s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
606 #counts   SARE_BOUNDARY_12         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
607 #counts   SARE_BOUNDARY_12         0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
608
609 header    SARE_BOUNDARY_13         Content-Type =~ /boundary=\"Java\.[A-Z]{5}\.\d{10,30}"/ # no /i
610 score     SARE_BOUNDARY_13         1.666
611 describe  SARE_BOUNDARY_13         Possible spam flag
612 #hist     SARE_BOUNDARY_13         Loren Wilton, Feb 21 2005
613 #counts   SARE_BOUNDARY_13         29s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
614 #max      SARE_BOUNDARY_13         614s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
615 #counts   SARE_BOUNDARY_13         61s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
616 #counts   SARE_BOUNDARY_13         86s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
617 #max      SARE_BOUNDARY_13         133s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
618 #counts   SARE_BOUNDARY_13         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
619 #counts   SARE_BOUNDARY_13         0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
620
621 header    SARE_BOUNDARY_D9         Content-Type =~ /boundary="\d{9}"/
622 describe  SARE_BOUNDARY_D9         Content type boundary used in spam or virus
623 score     SARE_BOUNDARY_D9         1.111
624 #stype    SARE_BOUNDARY_D9         spamp
625 #hist     SARE_BOUNDARY_D9         Created by Bob Menschel May 31 2004
626 #counts   SARE_BOUNDARY_D9         76s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
627 #max      SARE_BOUNDARY_D9         80s/0h of 275081 corpus (134226s/140855h RM) 05/30/05
628 #counts   SARE_BOUNDARY_D9         0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
629 #counts   SARE_BOUNDARY_D9         8s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
630 #counts   SARE_BOUNDARY_D9         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
631 #counts   SARE_BOUNDARY_D9         0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
632
633 header    SARE_BOUNDARY_D11        Content-Type =~ /boundary="\d{11}"/
634 describe  SARE_BOUNDARY_D11        Content type boundary used in spam or virus
635 score     SARE_BOUNDARY_D11        1.666
636 #stype    SARE_BOUNDARY_D11        spamp
637 #hist     SARE_BOUNDARY_D11        Created by Bob Menschel May 31 2004
638 #counts   SARE_BOUNDARY_D11        112s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
639 #counts   SARE_BOUNDARY_D11        3s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
640 #counts   SARE_BOUNDARY_D11        0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
641 #counts   SARE_BOUNDARY_D11        7s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
642 #counts   SARE_BOUNDARY_D11        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
643
644 header    __SARE_BOUNDARY_D12      Content-Type =~ /boundary="\d{12,}"/
645 meta      SARE_BOUNDARY_D12        __SARE_BOUNDARY_D12 && !MIME_BOUND_DIGITS_15
646 describe  SARE_BOUNDARY_D12        Content type boundary used in spam or virus
647 score     SARE_BOUNDARY_D12        1.666
648 #stype    SARE_BOUNDARY_D12        spamp
649 #hist     SARE_BOUNDARY_D12        Created by Bob Menschel May 31 2004
650 #V300     SARE_BOUNDARY_D12        Converted to meta to avoid double-scoring new SA 3.0 MIME_BOUND_DIGITS_15 rule
651 #counts   SARE_BOUNDARY_D12        412s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
652 #counts   SARE_BOUNDARY_D12        188s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
653 #max      SARE_BOUNDARY_D12        238s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
654 #counts   SARE_BOUNDARY_D12        0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
655 #counts   SARE_BOUNDARY_D12        32s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
656 #max      SARE_BOUNDARY_D12        65s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
657 #counts   SARE_BOUNDARY_D12        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
658 #alone    SARE_BOUNDARY_D12        701s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
659
660 header    SARE_BOUNDARY_ANYDIG     Content-Type =~ /boundary="--.*\[\d\]/i
661 describe  SARE_BOUNDARY_ANYDIG     Content type boundary used in spam and viruses
662 score     SARE_BOUNDARY_ANYDIG     1.666
663 #hist     SARE_BOUNDARY_ANYDIG     Created by Bob Menschel May 7 2005, suggested by Alex Broens 
664 #counts   SARE_BOUNDARY_ANYDIG     143s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
665 #max      SARE_BOUNDARY_ANYDIG     282s/0h of 298277 corpus (136400s/161877h RM) 06/06/05
666 #counts   SARE_BOUNDARY_ANYDIG     3s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
667 #counts   SARE_BOUNDARY_ANYDIG     85s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
668 #counts   SARE_BOUNDARY_ANYDIG     2s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
669
670 header    SARE_BOUNDARY_QZSOFT     content-type =~ /boundary="qzsoft_directmail_seperator"/
671 describe  SARE_BOUNDARY_QZSOFT     Identifies spam from specific spamware
672 score     SARE_BOUNDARY_QZSOFT     1.666
673 #hist     SARE_BOUNDARY_QZSOFT     Loren Wilton, LW_DIRECTMAIL, Sep 5 2004
674 #counts   SARE_BOUNDARY_QZSOFT     347s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
675 #counts   SARE_BOUNDARY_QZSOFT     5s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
676 #max      SARE_BOUNDARY_QZSOFT     6s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
677 #counts   SARE_BOUNDARY_QZSOFT     0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
678 #counts   SARE_BOUNDARY_QZSOFT     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
679 #counts   SARE_BOUNDARY_QZSOFT     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
680
681 #####################################################################################
682 #         SARE From Rules 
683 ########  ######################   ##################################################
684
685 header    __AOL_FROM               From:addr =~ /\@(?:aol|cs)\.com$/i
686 header    __SARE_FROM_GOODAOL      From =~ /[a-z][a-z0-9]{2,15}\@aol.com/i
687 describe  __SARE_FROM_GOODAOL      Partial Rule: Marks Bad AOL Addresses
688 meta      SARE_FROM_BADAOL         __AOL_FROM && !__SARE_FROM_GOODAOL
689 describe  SARE_FROM_BADAOL         From an Invalid AOL Email Address
690 score     SARE_FROM_BADAOL         1.666
691 #hist     SARE_FROM_BADAOL         KAM.COMBO_BADAOL Originally submitted by from Kevin A. McGrail 
692 #hist     SARE_FROM_BADAOL         Rule based on Kelson Vibber's MD code for bogus AOL Addresses
693 #hist     SARE_FROM_BADAOL         Check for bogus AOL addresses as described at
694 #hist     SARE_FROM_BADAOL         http://postmaster.aol.com/faq/mailerfaq.html#syntax
695 #hist     SARE_FROM_BADAOL         Rule for good addresses: all alphanumeric, starting with a letter, from 3 to 16 characters long.
696 #note     SARE_FROM_BADAOL         __AOL_FROM is SA Distrib rule
697 #counts   SARE_FROM_BADAOL         226s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
698 #max      SARE_FROM_BADAOL         359s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
699 #counts   SARE_FROM_BADAOL         30s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
700 #max      SARE_FROM_BADAOL         51s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
701 #counts   SARE_FROM_BADAOL         1s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
702 #max      SARE_FROM_BADAOL         10s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
703 #counts   SARE_FROM_BADAOL         0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
704 #counts   SARE_FROM_BADAOL         4s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
705
706 header    SARE_FROM_DRUGS          From =~ /\b(?:cialis|levitra|phentermine|valium|viagra|vicodin|xanax)\b/i
707 describe  SARE_FROM_DRUGS          From a drug
708 score     SARE_FROM_DRUGS          1.666
709 #hist     SARE_FROM_DRUGS          Bob Menschel May 14 2005, from sample provided by Joanne Dow
710 #hist     SARE_FROM_DRUGS          Split SOMA to new SARE_FROM_DRUGS2 rule because of ham.
711 #counts   SARE_FROM_DRUGS          243s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
712 #max      SARE_FROM_DRUGS          753s/0h of 272483 corpus (108035s/164448h RM) 05/15/05
713 #counts   SARE_FROM_DRUGS          0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
714 #max      SARE_FROM_DRUGS          17s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
715 #counts   SARE_FROM_DRUGS          2s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
716 #counts   SARE_FROM_DRUGS          72s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
717 #max      SARE_FROM_DRUGS          108s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
718 #counts   SARE_FROM_DRUGS          7s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
719
720 header    SARE_FROM_HOODIA         From =~ /"Hoodia/i
721 describe  SARE_FROM_HOODIA         From who do ya say?
722 score     SARE_FROM_HOODIA         1.666
723 #stype    SARE_FRMO_HOODIA         spamg
724 #hist     SARE_FROM_HOODIA         Loren Wilton, Sept 2005
725 #counts   SARE_FROM_HOODIA         45s/0h of 659759 corpus (325842s/333917h RM) 09/20/05
726 #counts   SARE_FROM_HOODIA         31s/0h of 56592 corpus (51660s/4932h MY) 09/22/05
727 #counts   SARE_FROM_HOODIA         1s/0h of 10551 corpus (5780s/4771h CT) 09/18/05
728
729 header    SARE_FROM_PAYPAL_INV     From =~ /(?:admin|services|support|update|verification)\@paypal.com/i 
730 describe  SARE_FROM_PAYPAL_INV     From invalid address at PayPal
731 score     SARE_FROM_PAYPAL_INV     1.111
732 #stype    SARE_FROM_PAYPAL_INV     spamp
733 #hist     SARE_FROM_PAYPAL_INV     Created by Bob Menschel Sep 24 2004
734 #counts   SARE_FROM_PAYPAL_INV     27s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
735 #max      SARE_FROM_PAYPAL_INV     39s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
736 #counts   SARE_FROM_PAYPAL_INV     1s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
737 #counts   SARE_FROM_PAYPAL_INV     0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
738 #counts   SARE_FROM_PAYPAL_INV     1s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
739 #counts   SARE_FROM_PAYPAL_INV     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
740
741 header    SARE_FROM_SPAM_NAME2     From =~ /(?:Dating Tips|Email-Gallery|everyday-solution|Free Credit Report|FreebieFix|Long Distance|medmicro|Shape Solutions|TMobile Authorized Dealer|TheGolfWarehouses|Typing Teacher|Value Center|freePriority Shipping|funpage|koldny|propecia|thedailyfreesamples)/i
742 describe  SARE_FROM_SPAM_NAME2     From address suggests this is spam
743 score     SARE_FROM_SPAM_NAME2     1.666
744 #stype    SARE_FROM_SPAM_NAME2     spamp
745 #hist     SARE_FROM_SPAM_NAME2     COMBINED.FROM and other sources
746 #counts   SARE_FROM_SPAM_NAME2     140s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
747 #counts   SARE_FROM_SPAM_NAME2     0s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
748 #max      SARE_FROM_SPAM_NAME2     1s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
749 #counts   SARE_FROM_SPAM_NAME2     3s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
750 #max      SARE_FROM_SPAM_NAME2     16s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
751 #counts   SARE_FROM_SPAM_NAME2     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
752 #counts   SARE_FROM_SPAM_NAME2     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
753
754 header    SARE_FROM_WSJ            From:name =~ /Wall Street (?:News Alert|Journal Online|Stock Wizard|Detective|Universe|Update|Chronicle)/i
755 score     SARE_FROM_WSJ            1.666
756 #hist     SARE_FROM_WSJ            Matt Yackley, Apr 15 2005, expanded by Bob Menschel
757 #counts   SARE_FROM_WSJ            77s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
758 #max      SARE_FROM_WSJ            86s/0h of 259338 corpus (110116s/149222h RM) 05/16/05
759 #counts   SARE_FROM_WSJ            2s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
760 #counts   SARE_FROM_WSJ            11s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
761 #counts   SARE_FROM_WSJ            258s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
762 #counts   SARE_FROM_WSJ            0s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
763
764 #####################################################################################
765 #         SARE From Rules -- Emails coming from free webmail accounts
766 #         Since spam from these can vary depending upon country of origin, 
767 #         country of destination, policies, and enforcement of policies, 
768 #         most of these are kept as separate rules rather than combined. 
769 ########  ######################   ##################################################
770
771 header    SARE_FREE_WEBM_COMWALL   From =~ /\@walla\.com/i
772 describe  SARE_FREE_WEBM_COMWALL   Maybe spammer with free email
773 score     SARE_FREE_WEBM_COMWALL   1.666
774 #hist     SARE_FREE_WEBM_COMWALL   Created by Bob Menschel Sep 26 2004
775 #counts   SARE_FREE_WEBM_COMWALL   851s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
776 #counts   SARE_FREE_WEBM_COMWALL   18s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
777 #counts   SARE_FREE_WEBM_COMWALL   10s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
778 #max      SARE_FREE_WEBM_COMWALL   13s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
779 #counts   SARE_FREE_WEBM_COMWALL   1s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
780 #counts   SARE_FREE_WEBM_COMWALL   1s/0h of 6924 corpus (1403s/5521h ft) 07/27/05
781
782 header    SARE_FREE_WEBM_Dora      From =~ /\bdoramail\.com/i
783 describe  SARE_FREE_WEBM_Dora      Sender used free email account - may be spammer 
784 score     SARE_FREE_WEBM_Dora      1.666
785 #counts   SARE_FREE_WEBM_Dora      182s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
786 #counts   SARE_FREE_WEBM_Dora      9s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
787 #max      SARE_FREE_WEBM_Dora      20s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
788 #counts   SARE_FREE_WEBM_Dora      18s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
789 #max      SARE_FREE_WEBM_Dora      21s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
790 #counts   SARE_FREE_WEBM_Dora      10s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
791 #max      SARE_FREE_WEBM_Dora      20s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
792 #counts   SARE_FREE_WEBM_Dora      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
793
794 header    SARE_FROM_WEBM_ERESMAS   From =~ /eresmas\.com/i
795 describe  SARE_FROM_WEBM_ERESMAS   Probable spammer
796 score     SARE_FROM_WEBM_ERESMAS   1.666
797 #hist     SARE_FROM_WEBM_ERESMAS   Bob Menschel May 14 2005
798 #counts   SARE_FROM_WEBM_ERESMAS   113s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
799 #max      SARE_FROM_WEBM_ERESMAS   619s/0h of 274235 corpus (109066s/165169h RM) 05/15/05
800 #counts   SARE_FROM_WEBM_ERESMAS   13s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
801 #counts   SARE_FROM_WEBM_ERESMAS   1s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
802 #counts   SARE_FROM_WEBM_ERESMAS   26s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
803 #counts   SARE_FROM_WEBM_ERESMAS   7s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
804
805 header    SARE_FREE_WEBM_EsTerra   From =~ /\bterra\.es/i
806 describe  SARE_FREE_WEBM_EsTerra   Sender used free email account - may be spammer
807 score     SARE_FREE_WEBM_EsTerra   1.666
808 #counts   SARE_FREE_WEBM_EsTerra   142s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
809 #max      SARE_FREE_WEBM_EsTerra   228s/0h of 274235 corpus (109066s/165169h RM) 05/15/05
810 #counts   SARE_FREE_WEBM_EsTerra   8s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
811 #counts   SARE_FREE_WEBM_EsTerra   6s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
812 #counts   SARE_FREE_WEBM_EsTerra   2s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
813 #counts   SARE_FREE_WEBM_EsTerra   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
814
815 header    SARE_FREE_WEBM_Kero      From =~ /\bKeromail\.com/i
816 describe  SARE_FREE_WEBM_Kero      Sender used free email account - may be spammer
817 score     SARE_FREE_WEBM_Kero      0.950
818 #counts   SARE_FREE_WEBM_Kero      29s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
819 #max      SARE_FREE_WEBM_Kero      46s/0h of 97268 corpus (79437s/17831h RM) 01/24/04
820 #counts   SARE_FREE_WEBM_Kero      5s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
821 #max      SARE_FREE_WEBM_Kero      12s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
822 #counts   SARE_FREE_WEBM_Kero      7s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
823 #counts   SARE_FREE_WEBM_Kero      6s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
824 #counts   SARE_FREE_WEBM_Kero      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
825
826 header    SARE_FREE_WEBM_LATINML   From =~ /\@latinmail\.com/i
827 describe  SARE_FREE_WEBM_LATINML   Maybe spammer with free email
828 score     SARE_FREE_WEBM_LATINML   1.666
829 #hist     SARE_FREE_WEBM_LATINML   Created by Bob Menschel Sep 28 2004
830 #counts   SARE_FREE_WEBM_LATINML   124s/1h of 619677 corpus (318875s/300802h RM) 09/11/05
831 #max      SARE_FREE_WEBM_LATINML   296s/0h of 275081 corpus (134226s/140855h RM) 05/30/05
832 #counts   SARE_FREE_WEBM_LATINML   18s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
833 #max      SARE_FREE_WEBM_LATINML   19s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
834 #counts   SARE_FREE_WEBM_LATINML   7s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
835 #counts   SARE_FREE_WEBM_LATINML   0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
836 #max      SARE_FREE_WEBM_LATINML   1s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
837 #counts   SARE_FREE_WEBM_LATINML   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
838
839 header    SARE_FREE_WEBM_OwnEm1    From =~ /\@(?:ownemail|akkadian|alarmists|armymail|arsed|astromail|barefooted|bellybuster|bemused|bigisbeautiful|bigisbetter|bigsecret|blag|blahdeblah|blowitup|boardmaster|bobbles|boster|brutes|buttonpushers|chalky|changeplace|charlies|chasing|cherrycola|chewies|chocolatejunkies|clubfever|codemaster|creaky|crumbly|currymonster|cutemail|darkcorner|darkplace|daydreamer|deepdesire|desilver|diddled|djsuperstars|doleoffice|dotters|downboy|ducktail|elitists|emergencymail)\.com/i
840 describe  SARE_FREE_WEBM_OwnEm1    Sender used free email account - may be spammer
841 #describ  SARE_FREE_WEBM_OwnEm1    These are all aliases of the OwnEmail.Com service, from which we get spam. 
842 score     SARE_FREE_WEBM_OwnEm1    1.666
843 #note     SARE_FREE_WEBM_OwnEm1    The SARE_FREE_WEBM_OWNEMn rules all apply to the same webmail host -- score identically as long as no ham match.
844 #counts   SARE_FREE_WEBM_OwnEm1    11s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
845 #max      SARE_FREE_WEBM_OwnEm1    159s/0h of 115937 corpus (94614s/21323h) 04/29/04
846 #counts   SARE_FREE_WEBM_OwnEm1    9s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
847 #max      SARE_FREE_WEBM_OwnEm1    19s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
848 #counts   SARE_FREE_WEBM_OwnEm1    31s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
849 #max      SARE_FREE_WEBM_OwnEm1    35s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
850 #counts   SARE_FREE_WEBM_OwnEm1    3s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
851 #max      SARE_FREE_WEBM_OwnEm1    6s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
852 #counts   SARE_FREE_WEBM_OwnEm1    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
853
854 header    SARE_FREE_WEBM_OwnEm2    From =~ /\@(?:fairyqueen|fantasyforce|fastbowler|firelord|fynns|gameaddict|gobby|hothatches|kickedout|kred|lemonmail|liquidlunch|lovesecrets|luckster|lucys|madder|makethebreak|manmachine|mippy|misssporty|mistersporty|mrlottery|mrsporty|nagging|naseem|nicked|ownplace|pammy|poppet|qualitymail|r-a-v-e|raddled|ribber|shearer|slouching|spoofer|stalkers|sthelens|stubby|sunstertacomail|taureans|tenderkiss|thearchway|thebrewer|thecutest|thelostworld|tiggy|tizzi|tosser|trilby)\.com/i
855 describe  SARE_FREE_WEBM_OwnEm2    Sender used free email account - may be spammer
856 score     SARE_FREE_WEBM_OwnEm2    1.666
857 #note     SARE_FREE_WEBM_OWNEm2    The SARE_FREE_WEBM_OWNEMn rules all apply to the same webmail host -- score identically as long as no ham match.
858 #counts   SARE_FREE_WEBM_OwnEm2    12s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
859 #max      SARE_FREE_WEBM_OwnEm2    153s/0h of 115937 corpus (94614s/21323h) 04/29/04
860 #counts   SARE_FREE_WEBM_OwnEm2    7s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
861 #max      SARE_FREE_WEBM_OwnEm2    8s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
862 #counts   SARE_FREE_WEBM_OwnEm2    35s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
863 #counts   SARE_FREE_WEBM_OwnEm2    5s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
864 #counts   SARE_FREE_WEBM_OwnEm2    2s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
865
866 header    SARE_FREE_WEBM_Uymail    From =~ /\buymail\.com/i
867 describe  SARE_FREE_WEBM_Uymail    Sender used free email account - may be spammer
868 score     SARE_FREE_WEBM_Uymail    1.228
869 #counts   SARE_FREE_WEBM_Uymail    22s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
870 #max      SARE_FREE_WEBM_Uymail    103s/0h of 125163 corpus (104972s/20191h) 03/28/04
871 #counts   SARE_FREE_WEBM_Uymail    13s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
872 #counts   SARE_FREE_WEBM_Uymail    1s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
873 #max      SARE_FREE_WEBM_Uymail    4s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
874 #counts   SARE_FREE_WEBM_Uymail    1s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
875 #counts   SARE_FREE_WEBM_Uymail    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
876
877 header    SARE_FREE_WEBM_Zwallet   From =~ /\bzwallet\.com/i
878 describe  SARE_FREE_WEBM_Zwallet   Sender used free email account - may be spammer
879 score     SARE_FREE_WEBM_Zwallet   1.666
880 #counts   SARE_FREE_WEBM_Zwallet   241s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
881 #counts   SARE_FREE_WEBM_Zwallet   7s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
882 #max      SARE_FREE_WEBM_Zwallet   8s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
883 #counts   SARE_FREE_WEBM_Zwallet   3s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
884 #counts   SARE_FREE_WEBM_Zwallet   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
885 #counts   SARE_FREE_WEBM_Zwallet   11s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
886
887 #####################################################################################
888 #         SARE Message-ID rules
889 ########  ######################   ##################################################
890
891 header    SARE_MSGID_1Z1Z          MESSAGEID =~ /<1z.+\@1z/
892 describe  SARE_MSGID_1Z1Z          Message-ID has ratware pattern (1zXXXX@1z)
893 score     SARE_MSGID_1Z1Z          2.222
894 #counts   SARE_MSGID_1Z1Z          978s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
895 #counts   SARE_MSGID_1Z1Z          0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
896 #max      SARE_MSGID_1Z1Z          94s/0h of 38374 corpus (14893s/23481h JH-SA3.0rc1) 08/18/04
897 #counts   SARE_MSGID_1Z1Z          527s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
898 #counts   SARE_MSGID_1Z1Z          0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
899 #counts   SARE_MSGID_1Z1Z          1s/0h of 2500 corpus (531s/1969h ft) 05/17/05
900
901 header    SARE_MSGID_HEX30         MESSAGEID =~ /<[A-Z0-9]{30}\$[0-9a-z]{9}\@/
902 describe  SARE_MSGID_HEX30         Message-ID has ratware pattern (HEXHEXHEX$9x9@)
903 score     SARE_MSGID_HEX30         1.666
904 #counts   SARE_MSGID_HEX30         18s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
905 #counts   SARE_MSGID_HEX30         235s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
906 #counts   SARE_MSGID_HEX30         2s/0h of 6924 corpus (1403s/5521h ft) 07/27/05
907 #counts   SARE_MSGID_HEX30         0s/0h of 38374 corpus (14893s/23481h JH-SA3.0rc1) 08/18/04
908 #counts   SARE_MSGID_HEX30         0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
909
910 #####################################################################################
911 #         SARE Received Header Rules
912 ########  ######################   ##################################################
913
914 header    SARE_HELO_MAILUSER       Received =~ /helo=MailUser\)/i
915 describe  SARE_HELO_MAILUSER       Received header has possible spamsign
916 score     SARE_HELO_MAILUSER       1.111
917 #stype    SARE_HELO_MAILUSER       spamp
918 #hist     SARE_HELO_MAILUSER       Created by Bob Menschel May 31 2004
919 #counts   SARE_HELO_MAILUSER       7s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
920 #max      SARE_HELO_MAILUSER       12s/0h of 298277 corpus (136400s/161877h RM) 06/06/05
921 #counts   SARE_HELO_MAILUSER       0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
922 #counts   SARE_HELO_MAILUSER       0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
923 #counts   SARE_HELO_MAILUSER       0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
924 #counts   SARE_HELO_MAILUSER       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
925
926 header    SARE_RECV_LOCALHOST      Received =~ /localhosts\.txt/i
927 describe  SARE_RECV_LOCALHOST      fingerprint
928 score     SARE_RECV_LOCALHOST      1.111
929 #stype    SARE_RECV_LOCALHOST      spamp
930 #hist     SARE_RECV_LOCALHOST      Alex Broens, June 2005
931 #counts   SARE_RECV_LOCALHOST      1s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
932 #max      SARE_RECV_LOCALHOST      77s/0h of 271461 corpus (129860s/141601h RM) 06/12/05
933 #counts   SARE_RECV_LOCALHOST      0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
934 #counts   SARE_RECV_LOCALHOST      0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
935
936 header    SARE_RECV_SUSP_2         Received =~ /from\s+[A-Z0-9]+\s+\(\[10\.2\.202\.25\]\)\s+by\s+[A-Z0-9]+\.[a-z]+/
937 describe  SARE_RECV_SUSP_2         Spammer sign in headers
938 score     SARE_RECV_SUSP_2         1.666
939 #hist     SARE_RECV_SUSP_2         LW_RATWARE1
940 #counts   SARE_RECV_SUSP_2         31s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
941 #max      SARE_RECV_SUSP_2         69s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
942 #counts   SARE_RECV_SUSP_2         31s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
943 #max      SARE_RECV_SUSP_2         124s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
944 #counts   SARE_RECV_SUSP_2         1s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
945 #counts   SARE_RECV_SUSP_2         4s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
946 #max      SARE_RECV_SUSP_2         8s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
947 #counts   SARE_RECV_SUSP_2         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
948
949 header    SARE_RECV_TRADVALUES     Received =~ /\btraditionalvalues\.org/i
950 describe  SARE_RECV_TRADVALUES     From or passed through spammer/unreliable domain
951 score     SARE_RECV_TRADVALUES     3.333  
952 #stype    SARE_RECV_TRADVALUES     spamgg
953 #hist     SARE_RECV_TRADVALUES     RM_hr_tradvalues
954 #counts   SARE_RECV_TRADVALUES     79s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
955 #max      SARE_RECV_TRADVALUES     97s/0h of 271461 corpus (129860s/141601h RM) 06/12/05
956 #counts   SARE_RECV_TRADVALUES     0s/0h of 18651 corpus (16120s/2531h MY) 08/29/04
957 #counts   SARE_RECV_TRADVALUES     0s/0h of 38751 corpus (15270s/23481h JH-SA3.0rc1) 08/30/04
958 #counts   SARE_RECV_TRADVALUES     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
959 #counts   SARE_RECV_TRADVALUES     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
960
961 header    SARE_RECV_VIPLIST        Received =~ /\b(?:viplist\.us|\[216.74.127.234\])/
962 describe  SARE_RECV_VIPLIST        Email comes from known spammer system 
963 score     SARE_RECV_VIPLIST        4.000  
964 #stype    SARE_RECV_VIPLIST        spamggg
965 #hist     SARE_RECV_VIPLIST        Created by Bob Menschel Sep 29 2004
966 #counts   SARE_RECV_VIPLIST        46s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
967 #max      SARE_RECV_VIPLIST        255s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
968 #counts   SARE_RECV_VIPLIST        0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
969 #counts   SARE_RECV_VIPLIST        0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
970 #counts   SARE_RECV_VIPLIST        0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
971 #counts   SARE_RECV_VIPLIST        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
972
973 header    SARE_RECV_XACTRIX        Received =~ /\b(?:accutra|xactrix)\.com/i
974 describe  SARE_RECV_XACTRIX        From/through probable spammer system 
975 score     SARE_RECV_XACTRIX        2.500  
976 #stype    SARE_RECV_XACTRIX        spamg
977 #hist     SARE_RECV_XACTRIX        Created by Bob Menschel Sep 03 2004
978 #counts   SARE_RECV_XACTRIX        0s/0h of 280812 corpus (109490s/171322h RM) 05/05/05
979 #max      SARE_RECV_XACTRIX        11s/0h of 115509 corpus (81073s/34436h RM) 01/16/05
980 #counts   SARE_RECV_XACTRIX        0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
981 #counts   SARE_RECV_XACTRIX        12s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
982 #max      SARE_RECV_XACTRIX        21s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
983 #counts   SARE_RECV_XACTRIX        0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
984 #counts   SARE_RECV_XACTRIX        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
985
986 #####################################################################################
987 #         SARE Received Header IP Address Rules
988 ########  ######################   ##################################################
989
990 header    SARE_RECV_IP_004078      Received =~ /\[4\.78\.193\.\d{1,3}\]/
991 describe  SARE_RECV_IP_004078      Spam passed through possible spammer relay
992 score     SARE_RECV_IP_004078      1.666 
993 #hist     SARE_RECV_IP_004078      Created by Bob Menschel Feb 5 2005 from Spam-L information
994 #note     SARE_RECV_IP_004078      CWIE, LLC
995 #counts   SARE_RECV_IP_004078      0s/0h of 95095 corpus (59680s/35415h RM) 02/05/05
996 #counts   SARE_RECV_IP_004078      0s/0h of 54840 corpus (17664s/37176h JH-3.01) 03/13/05
997 #counts   SARE_RECV_IP_004078      347s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
998 #max      SARE_RECV_IP_004078      397s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
999 #counts   SARE_RECV_IP_004078      0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1000 #counts   SARE_RECV_IP_004078      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1001
1002 header    SARE_RECV_IP_038112147   Received =~ /\[38\.112\.147\.\d{1,3}\]/
1003 describe  SARE_RECV_IP_038112147   Spam passed through possible spammer relay
1004 score     SARE_RECV_IP_038112147   1.111
1005 #stype    SARE_RECV_IP_038112147   spamp
1006 #hist     SARE_RECV_IP_038112147   Created by Bob Menschel, Feb 19 2005, from Spam-L posting
1007 #counts   SARE_RECV_IP_038112147   0s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
1008 #max      SARE_RECV_IP_038112147   66s/0h of 283497 corpus (129933s/153564h RM) 03/08/05
1009 #counts   SARE_RECV_IP_038112147   0s/0h of 54840 corpus (17664s/37176h JH-3.01) 03/13/05
1010 #counts   SARE_RECV_IP_038112147   3s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1011 #max      SARE_RECV_IP_038112147   3s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1012 #counts   SARE_RECV_IP_038112147   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1013 #counts   SARE_RECV_IP_038112147   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1014
1015 header    SARE_RECV_IP_061052      Received =~ /\[61\.5[2-4]\.\d{1,3}\.\d{1,3}\]/
1016 describe  SARE_RECV_IP_061052      Spam passed through possible spammer relay
1017 score     SARE_RECV_IP_061052      1.666  
1018 #stype    SARE_RECV_IP_061052      spamp 
1019 #hist     SARE_RECV_IP_061052      Created by Bob Menschel May 10 2004
1020 #counts   SARE_RECV_IP_061052      410s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1021 #counts   SARE_RECV_IP_061052      16s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1022 #max      SARE_RECV_IP_061052      25s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
1023 #counts   SARE_RECV_IP_061052      13s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1024 #max      SARE_RECV_IP_061052      15s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1025 #counts   SARE_RECV_IP_061052      18s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1026 #max      SARE_RECV_IP_061052      19s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1027 #counts   SARE_RECV_IP_061052      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1028
1029 header    SARE_RECV_IP_061172      Received =~ /\[61\.17[23]\.\d{1,3}\.\d{1,3}\]/
1030 describe  SARE_RECV_IP_061172      Spam passed through possible spammer relay
1031 score     SARE_RECV_IP_061172      1.666
1032 #stype    SARE_RECV_IP_061172      spamp 
1033 #counts   SARE_RECV_IP_061172      206s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1034 #max      SARE_RECV_IP_061172      305s/0h of 119325 corpus (98981s/20344h) 03/22/04
1035 #counts   SARE_RECV_IP_061172      13s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1036 #max      SARE_RECV_IP_061172      27s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
1037 #counts   SARE_RECV_IP_061172      276s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1038 #counts   SARE_RECV_IP_061172      45s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1039 #counts   SARE_RECV_IP_061172      1s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
1040
1041 header    SARE_RECV_IP_063106130   Received =~ /\[63\.106\.130\.\d{1,3}\]/
1042 describe  SARE_RECV_IP_063106130   Spam passed through possible spammer relay
1043 score     SARE_RECV_IP_063106130   1.111  
1044 #stype    SARE_RECV_IP_063106130   spamp 
1045 #hist     SARE_RECV_IP_063106130   Created by Bob Menschel May 14 2005
1046 #note     SARE_RECV_IP_063106130   Data Depot LLC
1047 #counts   SARE_RECV_IP_063106130   5s/0h of 298277 corpus (136400s/161877h RM) 06/06/05
1048 #max      SARE_RECV_IP_063106130   15s/0h of 272483 corpus (108035s/164448h RM) 05/15/05
1049 #counts   SARE_RECV_IP_063106130   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1050 #counts   SARE_RECV_IP_063106130   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1051 #counts   SARE_RECV_IP_063106130   0s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1052 #counts   SARE_RECV_IP_063106130   1s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1053
1054 header    SARE_RECV_IP_064069032   Received =~ /\[64\.69\.32\.\d{1,3}\]/
1055 describe  SARE_RECV_IP_064069032   Spam passed through possible spammer relay
1056 score     SARE_RECV_IP_064069032   1.111  
1057 #stype    SARE_RECV_IP_064069032   spamp 
1058 #hist     SARE_RECV_IP_064069032   Created by Bob Menschel Aug 07 2005
1059 #counts   SARE_RECV_IP_064069032   13s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1060 #counts   SARE_RECV_IP_064069032   0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1061 #counts   SARE_RECV_IP_064069032   0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
1062
1063 header    SARE_RECV_IP_064192082   received =~ /\[64\.192\.8[23]\.\d{1,3}\]/
1064 describe  SARE_RECV_IP_064192082   Spam passed through possible spammer relay
1065 score     SARE_RECV_IP_064192082   1.111
1066 #stype    SARE_RECV_IP_064192082   spamp
1067 #hist     SARE_RECV_IP_064192082   Created by Bob Menschel Jan 29 2005 from info supplied via Spam-L
1068 #counts   SARE_RECV_IP_064192082   0s/0h of 98352 corpus (59690s/38662h RM) 01/29/05
1069 #counts   SARE_RECV_IP_064192082   0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1070 #counts   SARE_RECV_IP_064192082   9s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1071 #max      SARE_RECV_IP_064192082   39s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1072 #counts   SARE_RECV_IP_064192082   0s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1073 #counts   SARE_RECV_IP_064192082   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1074
1075 header    SARE_RECV_IP_066059094   Received =~ /\[66\.59\.94\.\d{1,3}\]/
1076 describe  SARE_RECV_IP_066059094   Spam passed through possible spammer relay
1077 score     SARE_RECV_IP_066059094   2.333 
1078 #hist     SARE_RECV_IP_066059094   Created by Bob Menschel Aug 07 2005
1079 #counts   SARE_RECV_IP_066059094   2505s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1080 #counts   SARE_RECV_IP_066059094   0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1081 #counts   SARE_RECV_IP_066059094   0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
1082
1083 header    SARE_RECV_IP_066063      Received =~ /\[66\.63\.178\.\d{1,3}\]/
1084 describe  SARE_RECV_IP_066063      Passed through possible spammer relay or source
1085 score     SARE_RECV_IP_066063      1.111
1086 #stype    SARE_RECV_IP_066063      spamp
1087 #hist     SARE_RECV_IP_066063      Created by Bob Menschel Feb 10 2005 from Spam-L info
1088 #counts   SARE_RECV_IP_066063      0s/0h of 118836 corpus (71083s/47753h RM) 02/10/05
1089 #counts   SARE_RECV_IP_066063      0s/0h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
1090 #counts   SARE_RECV_IP_066063      21s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1091 #counts   SARE_RECV_IP_066063      0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1092 #counts   SARE_RECV_IP_066063      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1093
1094 header    SARE_RECV_IP_066114a     Received =~ /\[66\.114\.217\.\d{1,3}\]/
1095 describe  SARE_RECV_IP_066114a     Spam passed through possible spammer relay
1096 score     SARE_RECV_IP_066114a     1.111  
1097 #stype    SARE_RECV_IP_066114a     spamp 
1098 #hist     SARE_RECV_IP_066114a     Created by Bob Menschel Feb 5 2005 from Spam-L info
1099 #note     SARE_RECV_IP_066114a     SW FLA Hosting
1100 #counts   SARE_RECV_IP_066114a     0s/0h of 275081 corpus (134226s/140855h RM) 05/30/05
1101 #max      SARE_RECV_IP_066114a     27s/0h of 238550 corpus (112525s/126025h RM) 02/28/05
1102 #counts   SARE_RECV_IP_066114a     0s/0h of 54840 corpus (17664s/37176h JH-3.01) 03/13/05
1103 #counts   SARE_RECV_IP_066114a     13s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1104 #counts   SARE_RECV_IP_066114a     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1105 #counts   SARE_RECV_IP_066114a     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1106
1107 header    SARE_RECV_IP_066159017   Received =~ /\[66\.159\.17\.8[4-7]\]/
1108 describe  SARE_RECV_IP_066159017   Spam passed through possible spammer relay
1109 score     SARE_RECV_IP_066159017   1.666  
1110 #hist     SARE_RECV_IP_066159017   Created by Bob Menschel Aug 07 2005
1111 #counts   SARE_RECV_IP_066159017   219s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1112 #counts   SARE_RECV_IP_066159017   0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1113 #counts   SARE_RECV_IP_066159017   0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
1114
1115 header    SARE_RECV_IP_069060122   Received =~ /\[69\.60\.122\.\d{1,3}\]/
1116 describe  SARE_RECV_IP_069060122   Spam passed through possible spammer relay
1117 score     SARE_RECV_IP_069060122   1.111  
1118 #stype    SARE_RECV_IP_069060122   spamp 
1119 #hist     SARE_RECV_IP_069060122   Created by Bob Menschel May 14 2005
1120 #counts   SARE_RECV_IP_069060122   28s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1121 #counts   SARE_RECV_IP_069060122   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1122 #counts   SARE_RECV_IP_069060122   3s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1123
1124 header    SARE_RECV_IP_070096177   Received =~ /\[70\.96\.177\.\d{1,3}\]/
1125 describe  SARE_RECV_IP_070096177   Spam passed through possible spammer relay
1126 score     SARE_RECV_IP_070096177   1.666  
1127 #stype    SARE_RECV_IP_070096177   spamp 
1128 #hist     SARE_RECV_IP_070096177   Created by Bob Menschel May 14 2005
1129 #note     SARE_RECV_IP_070096177   Broadlogix
1130 #counts   SARE_RECV_IP_070096177   0s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
1131 #max      SARE_RECV_IP_070096177   78s/0h of 275081 corpus (134226s/140855h RM) 05/30/05
1132 #counts   SARE_RECV_IP_070096177   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1133 #counts   SARE_RECV_IP_070096177   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1134 #counts   SARE_RECV_IP_070096177   48s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
1135
1136 header    SARE_RECV_IP_071004200   Received =~ /\[71\.4\.2\d\d\.\d{1,3}\]/
1137 describe  SARE_RECV_IP_071004200   Spam passed through possible spammer relay
1138 score     SARE_RECV_IP_071004200   1.666  
1139 #stype    SARE_RECV_IP_071004200   spamp 
1140 #hist     SARE_RECV_IP_071004200   Created by Bob Menschel May 14 2005
1141 #counts   SARE_RECV_IP_071004200   17s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1142 #max      SARE_RECV_IP_071004200   51s/0h of 275081 corpus (134226s/140855h RM) 05/30/05
1143 #counts   SARE_RECV_IP_071004200   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1144 #counts   SARE_RECV_IP_071004200   298s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1145 #counts   SARE_RECV_IP_071004200   1s/0h of 6924 corpus (1403s/5521h ft) 07/27/05
1146
1147 header    SARE_RECV_IP_072034096   Received =~ /\[72\.34\.(?:9[6-9]|1(?:0\d|1[01]))\.\d{1,3}\]/
1148 describe  SARE_RECV_IP_072034096   Spam passed through possible spammer relay
1149 score     SARE_RECV_IP_072034096   1.666  
1150 #stype    SARE_RECV_IP_072034096   spamp 
1151 #hist     SARE_RECV_IP_072034096   Created by Bob Menschel May 14 2005
1152 #note     SARE_RECV_IP_072034096   Race Technologies
1153 #counts   SARE_RECV_IP_072034096   4s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1154 #max      SARE_RECV_IP_072034096   255s/0h of 272483 corpus (108035s/164448h RM) 05/15/05
1155 #counts   SARE_RECV_IP_072034096   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1156 #counts   SARE_RECV_IP_072034096   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1157 #counts   SARE_RECV_IP_072034096   4s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1158
1159 header    SARE_RECV_IP_204010039   Received =~ /\[204\.10\.39\.(?:3[2-9]|[45]\d|6[0-3])\]/
1160 describe  SARE_RECV_IP_204010039   Spam passed through possible spammer relay
1161 score     SARE_RECV_IP_204010039   1.111  
1162 #stype    SARE_RECV_IP_204010039   spamp 
1163 #hist     SARE_RECV_IP_204010039   Created by Bob Menschel Aug 07 2005
1164 #note     SARE_RECV_IP_204010039   Strategic Impact Concepts
1165 #counts   SARE_RECV_IP_204010039   34s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1166 #counts   SARE_RECV_IP_204010039   0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1167 #counts   SARE_RECV_IP_204010039   0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
1168
1169 header    SARE_RECV_IP_206081080   received =~ /\[206\.81\.(?:8\d|9[0-5])\.\d{1,3}\]/
1170 describe  SARE_RECV_IP_206081080   Spam passed through possible spammer relay
1171 score     SARE_RECV_IP_206081080   1.666
1172 #stype    SARE_RECV_IP_206081080   spamp
1173 #hist     SARE_RECV_IP_206081080   Created by Bob Menschel Jan 29 2005 from info supplied via Spam-L
1174 #counts   SARE_RECV_IP_206081080   4s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1175 #max      SARE_RECV_IP_206081080   32s/0h of 283497 corpus (129933s/153564h RM) 03/08/05
1176 #counts   SARE_RECV_IP_206081080   1s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1177 #max      SARE_RECV_IP_206081080   2s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1178 #counts   SARE_RECV_IP_206081080   80s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1179 #max      SARE_RECV_IP_206081080   152s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1180 #counts   SARE_RECV_IP_206081080   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1181 #counts   SARE_RECV_IP_206081080   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1182
1183 header    SARE_RECV_IP_207182      Received =~ /\[207\.182\.146\.(?:19[2-9]|2\d{2})\]/
1184 describe  SARE_RECV_IP_207182      Passed through possible spammer relay or source
1185 score     SARE_RECV_IP_207182      1.666
1186 #stype    SARE_RECV_IP_207182      spamp
1187 #hist     SARE_RECV_IP_207182      Created by Bob Menschel Feb 10 2005 from Spam-L info
1188 #counts   SARE_RECV_IP_207182      0s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
1189 #max      SARE_RECV_IP_207182      26s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
1190 #counts   SARE_RECV_IP_207182      71s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1191 #counts   SARE_RECV_IP_207182      20s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1192 #max      SARE_RECV_IP_207182      57s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1193 #counts   SARE_RECV_IP_207182      0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1194 #counts   SARE_RECV_IP_207182      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1195
1196 header    SARE_RECV_IP_208048182   Received =~ /\[208.48\.182\.\d{1,3}\]/
1197 describe  SARE_RECV_IP_208048182   Spam passed through possible spammer relay
1198 score     SARE_RECV_IP_208048182   1.111  
1199 #stype    SARE_RECV_IP_208048182   spamp 
1200 #hist     SARE_RECV_IP_208048182   Created by Bob Menschel May 14 2005
1201 #counts   SARE_RECV_IP_208048182   0s/0h of 274235 corpus (109066s/165169h RM) 05/15/05
1202 #counts   SARE_RECV_IP_208048182   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1203 #counts   SARE_RECV_IP_208048182   36s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1204 #max      SARE_RECV_IP_208048182   43s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1205
1206 header    SARE_RECV_IP_208053011   Received =~ /\[208\.53\.11\.\d{1,3}\]/
1207 describe  SARE_RECV_IP_208053011   Spam passed through possible spammer relay
1208 score     SARE_RECV_IP_208053011   1.666  
1209 #stype    SARE_RECV_IP_208053011   spamp 
1210 #hist     SARE_RECV_IP_208053011   Created by Bob Menschel May 14 2005
1211 #note     SARE_RECV_IP_208053011   Advanced Dedicated Database Servers LLC
1212 #counts   SARE_RECV_IP_208053011   1s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
1213 #max      SARE_RECV_IP_208053011   5s/0h of 259338 corpus (110116s/149222h RM) 05/16/05
1214 #counts   SARE_RECV_IP_208053011   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1215 #counts   SARE_RECV_IP_208053011   17s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1216
1217 header    SARE_RECV_IP_216055133   Received =~ /\[216\.55\.133\.\d{1,3}\]/
1218 describe  SARE_RECV_IP_216055133   Spam passed through possible spammer relay
1219 score     SARE_RECV_IP_216055133   1.111
1220 #stype    SARE_RECV_IP_216055133   spamp 
1221 #hist     SARE_RECV_IP_216055133   Created by Bob Menschel May 14 2005
1222 #counts   SARE_RECV_IP_216055133   0s/0h of 274235 corpus (109066s/165169h RM) 05/15/05
1223 #counts   SARE_RECV_IP_216055133   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1224 #counts   SARE_RECV_IP_216055133   1s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1225 #counts   SARE_RECV_IP_216055133   15s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1226
1227 header    SARE_RECV_IP_218011      Received =~ /\[218\.1[12]\.\d{1,3}\.\d{1,3}\]/
1228 describe  SARE_RECV_IP_218011      Spam passed through Chinese CNCGROUP-HE system
1229 score     SARE_RECV_IP_218011      1.666
1230 #stype    SARE_RECV_IP_218011      spamp
1231 #counts   SARE_RECV_IP_218011      60s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1232 #max      SARE_RECV_IP_218011      149s/0h of 97268 corpus (79437s/17831h RM) 01/24/04
1233 #counts   SARE_RECV_IP_218011      22s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1234 #counts   SARE_RECV_IP_218011      6s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1235 #counts   SARE_RECV_IP_218011      5s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1236 #max      SARE_RECV_IP_218011      9s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1237 #counts   SARE_RECV_IP_218011      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1238
1239 header    SARE_RECV_IP_218062      Received =~ /\[218\.6[23]\.\d{1,3}\.\d{1,3}\]/
1240 describe  SARE_RECV_IP_218062      Passed through possible spammer relay or source
1241 score     SARE_RECV_IP_218062      1.111
1242 #stype    SARE_RECV_IP_218062      spamp
1243 #hist     SARE_RECV_IP_218062      Created by Bob Menschel Aug 09 2004
1244 #counts   SARE_RECV_IP_218062      55s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1245 #counts   SARE_RECV_IP_218062      8s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1246 #counts   SARE_RECV_IP_218062      5s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1247 #counts   SARE_RECV_IP_218062      3s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1248 #max      SARE_RECV_IP_218062      5s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1249 #counts   SARE_RECV_IP_218062      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1250
1251 header    SARE_RECV_IP_218071      Received =~ /\[218\.71\.\d{1,3}\.\d{1,3}\]/
1252 describe  SARE_RECV_IP_218071      Spam passed through possible spammer relay
1253 score     SARE_RECV_IP_218071      1.666
1254 #hist     SARE_RECV_IP_218071      Created by Bob Menschel Apr 04 2004
1255 #counts   SARE_RECV_IP_218071      160s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1256 #counts   SARE_RECV_IP_218071      16s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1257 #counts   SARE_RECV_IP_218071      126s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
1258 #counts   SARE_RECV_IP_218071      2s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1259 #max      SARE_RECV_IP_218071      5s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1260 #counts   SARE_RECV_IP_218071      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1261
1262 header    SARE_RECV_IP_218085      Received =~ /\[218\.8[56]\.\d{1,3}\.\d{1,3}\]/
1263 describe  SARE_RECV_IP_218085      Passed through possible spammer relay or source
1264 score     SARE_RECV_IP_218085      1.666 
1265 #stype    SARE_RECV_IP_218085      spamp
1266 #hist     SARE_RECV_IP_218085      Created by Bob Menschel Aug 23 2004
1267 #counts   SARE_RECV_IP_218085      122s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1268 #counts   SARE_RECV_IP_218085      14s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1269 #max      SARE_RECV_IP_218085      17s/0h of 54840 corpus (17664s/37176h JH-3.01) 03/13/05
1270 #counts   SARE_RECV_IP_218085      51s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1271 #max      SARE_RECV_IP_218085      51s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1272 #counts   SARE_RECV_IP_218085      5s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1273 #max      SARE_RECV_IP_218085      8s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1274 #counts   SARE_RECV_IP_218085      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1275
1276 header    SARE_RECV_IP_219159      Received =~ /\[219\.159\.(?:6[4-9]|[7-9]\d|\d{3})\.\d{1,3}\]/
1277 describe  SARE_RECV_IP_219159      Spam passed through possible spammer relay
1278 score     SARE_RECV_IP_219159      1.111
1279 #stype    SARE_RECV_IP_219159      spamp 
1280 #hist     SARE_RECV_IP_219159      Created by Bob Menschel Apr 28 2004
1281 #counts   SARE_RECV_IP_219159      52s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1282 #counts   SARE_RECV_IP_219159      2s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1283 #max      SARE_RECV_IP_219159      2s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
1284 #counts   SARE_RECV_IP_219159      2s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1285 #counts   SARE_RECV_IP_219159      1s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1286 #max      SARE_RECV_IP_219159      3s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1287 #counts   SARE_RECV_IP_219159      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1288
1289 header    SARE_RECV_IP_219248      Received =~ /\[219\.248\.\d{1,3}\.\d{1,3}\]/
1290 describe  SARE_RECV_IP_219248      Passed through possible spammer relay or source
1291 score     SARE_RECV_IP_219248      1.666  
1292 #hist     SARE_RECV_IP_219248      Created by Bob Menschel Dec 09 2004
1293 #note     SARE_RECV_IP_219248      Korea Network Information Center
1294 #counts   SARE_RECV_IP_219248      325s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1295 #counts   SARE_RECV_IP_219248      30s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1296 #counts   SARE_RECV_IP_219248      11s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1297 #counts   SARE_RECV_IP_219248      7s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1298 #max      SARE_RECV_IP_219248      19s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1299 #counts   SARE_RECV_IP_219248      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1300
1301 header    SARE_RECV_IP_220168      Received =~ /\[220\.1(?:6[89]|70)\.\d{1,3}\.\d{1,3}\]/
1302 describe  SARE_RECV_IP_220168      Passed through possible spammer relay or source
1303 score     SARE_RECV_IP_220168      1.666
1304 #note     SARE_RECV_IP_220168      ChinaNet, Hunan Province
1305 #hist     SARE_RECV_IP_220168      Created by Bob Menschel Nov 13 2004
1306 #counts   SARE_RECV_IP_220168      85s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1307 #max      SARE_RECV_IP_220168      104s/0h of 115509 corpus (81073s/34436h RM) 01/16/05
1308 #counts   SARE_RECV_IP_220168      19s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1309 #counts   SARE_RECV_IP_220168      111s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1310 #counts   SARE_RECV_IP_220168      2s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1311 #max      SARE_RECV_IP_220168      9s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1312 #counts   SARE_RECV_IP_220168      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1313
1314 header    SARE_RECV_IP_220189      Received =~ /\[220\.189\.(?:\d|[1-5]\d|6[0-3])\.\d{1,3}\]/
1315 describe  SARE_RECV_IP_220189      Passed through possible spammer relay or source
1316 score     SARE_RECV_IP_220189      0.844 
1317 #hist     SARE_RECV_IP_220189      Created by Bob Menschel May 1 2004
1318 #counts   SARE_RECV_IP_220189      28s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1319 #max      SARE_RECV_IP_220189      28s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1320 #counts   SARE_RECV_IP_220189      5s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1321 #counts   SARE_RECV_IP_220189      18s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
1322 #max      SARE_RECV_IP_220189      18s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1323 #counts   SARE_RECV_IP_220189      1s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1324 #counts   SARE_RECV_IP_220189      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1325
1326 header    SARE_RECV_IP_221000      Received =~ /\[221\.[0-3]\.\d{1,3}\.\d{1,3}\]/
1327 describe  SARE_RECV_IP_221000      Passed through possible spammer relay or source
1328 score     SARE_RECV_IP_221000      1.433 
1329 #hist     SARE_RECV_IP_221000      Created by Bob Menschel Jul 24 2004
1330 #counts   SARE_RECV_IP_221000      117s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1331 #counts   SARE_RECV_IP_221000      13s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1332 #counts   SARE_RECV_IP_221000      24s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1333 #counts   SARE_RECV_IP_221000      0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1334 #max      SARE_RECV_IP_221000      3s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1335 #counts   SARE_RECV_IP_221000      1s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
1336
1337 header    SARE_RECV_IP_222032      Received =~ /\[222\.(?:3[2-9]|[45]\d|6[0-3])\.\d{1,3}\.\d{1,3}\]/
1338 describe  SARE_RECV_IP_222032      Spam passed through possible spammer relay
1339 score     SARE_RECV_IP_222032      2.222
1340 #stype    SARE_RECV_IP_222032      spamp
1341 #note     SARE_RECV_IP_222032      China Railway Telecommunications Center , Beijing
1342 #hist     SARE_RECV_IP_222032      Created by Bob Menschel Feb 24 2005
1343 #counts   SARE_RECV_IP_222032      1699s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1344 #counts   SARE_RECV_IP_222032      70s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1345 #counts   SARE_RECV_IP_222032      89s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1346 #counts   SARE_RECV_IP_222032      38s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1347 #max      SARE_RECV_IP_222032      103s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1348 #counts   SARE_RECV_IP_222032      2s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
1349
1350 #####################################################################################
1351 #         SARE Reply-To Header Rules 
1352 ########  ######################   ##################################################
1353
1354 header    SARE_REPLY_XACTRIX       Reply-To =~ /\b(?:accutra|xactrix)\.com/i
1355 describe  SARE_REPLY_XACTRIX       Reply-To email addr to spammer
1356 score     SARE_REPLY_XACTRIX       1.666
1357 #stype    SARE_REPLY_XACTRIX       spamg
1358 #hist     SARE_REPLY_XACTRIX       Created by Bob Menschel Sep 03 2004
1359 #counts   SARE_REPLY_XACTRIX       0s/0h of 280812 corpus (109490s/171322h RM) 05/05/05
1360 #max      SARE_REPLY_XACTRIX       11s/0h of 115509 corpus (81073s/34436h RM) 01/16/05
1361 #counts   SARE_REPLY_XACTRIX       0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1362 #counts   SARE_REPLY_XACTRIX       12s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1363 #max      SARE_REPLY_XACTRIX       21s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1364 #counts   SARE_REPLY_XACTRIX       0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1365 #counts   SARE_REPLY_XACTRIX       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1366
1367 #####################################################################################
1368 #         SARE To/Cc Destination rules
1369 ########  ######################   ##################################################
1370
1371 header    __SARE_TOCC_MULT_BIGFT5  ToCc =~ /(?:\@bigfoot.com\b.*){5}/i
1372 meta      SARE_TOCC_MULT_BIGFT5    __SARE_TOCC_MULT_BIGFT5 && !( SARE_TOCC_MULT_BIGFT9 || SARE_TOCC_MULT_BIGFT8 || SARE_TOCC_MULT_BIGFT7 || SARE_TOCC_MULT_BIGFT6 )
1373 describe  SARE_TOCC_MULT_BIGFT5    Sent to multiple bigfoot addresses
1374 score     SARE_TOCC_MULT_BIGFT5    1.666
1375 #hist     SARE_TOCC_MULT_BIGFT5    Created by Bob Menschel Apr 09 2004
1376 #counts   SARE_TOCC_MULT_BIGFT5    42s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1377 #max      SARE_TOCC_MULT_BIGFT5    271s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1378 #counts   SARE_TOCC_MULT_BIGFT5    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1379 #counts   SARE_TOCC_MULT_BIGFT5    0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1380 #counts   SARE_TOCC_MULT_BIGFT5    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1381 #counts   SARE_TOCC_MULT_BIGFT5    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1382
1383 header    __SARE_TOCC_MULT_BIGFT6  ToCc =~ /(?:\@bigfoot.com\b.*){6}/i
1384 meta      SARE_TOCC_MULT_BIGFT6    __SARE_TOCC_MULT_BIGFT6 && !( SARE_TOCC_MULT_BIGFT9 || SARE_TOCC_MULT_BIGFT8 || SARE_TOCC_MULT_BIGFT7 )
1385 describe  SARE_TOCC_MULT_BIGFT6    Sent to multiple bigfoot addresses
1386 score     SARE_TOCC_MULT_BIGFT6    1.666
1387 #hist     SARE_TOCC_MULT_BIGFT6    Created by Bob Menschel Apr 09 2004
1388 #counts   SARE_TOCC_MULT_BIGFT6    21s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1389 #max      SARE_TOCC_MULT_BIGFT6    396s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
1390 #counts   SARE_TOCC_MULT_BIGFT6    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1391 #counts   SARE_TOCC_MULT_BIGFT6    0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1392 #counts   SARE_TOCC_MULT_BIGFT6    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1393 #counts   SARE_TOCC_MULT_BIGFT6    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1394
1395 header    __SARE_TOCC_MULT_BIGFT7  ToCc =~ /(?:\@bigfoot.com\b.*){7}/i
1396 meta      SARE_TOCC_MULT_BIGFT7    __SARE_TOCC_MULT_BIGFT7 && !( SARE_TOCC_MULT_BIGFT9 || SARE_TOCC_MULT_BIGFT8 )
1397 describe  SARE_TOCC_MULT_BIGFT7    Sent to multiple bigfoot addresses
1398 score     SARE_TOCC_MULT_BIGFT7    1.122
1399 #hist     SARE_TOCC_MULT_BIGFT7    Created by Bob Menschel Apr 09 2004
1400 #counts   SARE_TOCC_MULT_BIGFT7    34s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1401 #max      SARE_TOCC_MULT_BIGFT7    102s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1402 #counts   SARE_TOCC_MULT_BIGFT7    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1403 #counts   SARE_TOCC_MULT_BIGFT7    0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1404 #counts   SARE_TOCC_MULT_BIGFT7    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1405 #counts   SARE_TOCC_MULT_BIGFT7    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1406
1407 header    __SARE_TOCC_MULT_BIGFT8  ToCc =~ /(?:\@bigfoot.com\b.*){8}/i
1408 meta      SARE_TOCC_MULT_BIGFT8    __SARE_TOCC_MULT_BIGFT8 && !( SARE_TOCC_MULT_BIGFT9 )
1409 describe  SARE_TOCC_MULT_BIGFT8    Sent to multiple bigfoot addresses
1410 score     SARE_TOCC_MULT_BIGFT8    1.172
1411 #stype    SARE_TOCC_MULT_BIGFT8    fixed
1412 #hist     SARE_TOCC_MULT_BIGFT8    Created by Bob Menschel Apr 09 2004
1413 #counts   SARE_TOCC_MULT_BIGFT8    25s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1414 #max      SARE_TOCC_MULT_BIGFT8    111s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1415 #counts   SARE_TOCC_MULT_BIGFT8    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1416 #counts   SARE_TOCC_MULT_BIGFT8    0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1417 #counts   SARE_TOCC_MULT_BIGFT8    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1418 #counts   SARE_TOCC_MULT_BIGFT8    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1419
1420 header    SARE_TOCC_MULT_BIGFT9    ToCc =~ /(?:\@bigfoot.com\b.*){9}/i
1421 describe  SARE_TOCC_MULT_BIGFT9    Sent to multiple bigfoot addresses
1422 score     SARE_TOCC_MULT_BIGFT9    1.666
1423 #hist     SARE_TOCC_MULT_BIGFT9    Created by Bob Menschel Apr 09 2004
1424 #counts   SARE_TOCC_MULT_BIGFT9    125s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1425 #max      SARE_TOCC_MULT_BIGFT9    283s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1426 #counts   SARE_TOCC_MULT_BIGFT9    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1427 #counts   SARE_TOCC_MULT_BIGFT9    0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1428 #counts   SARE_TOCC_MULT_BIGFT9    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1429 #counts   SARE_TOCC_MULT_BIGFT9    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1430
1431 #####################################################################################
1432 #         SARE User-Agent rules
1433 ########  ######################   ##################################################
1434
1435 header    SARE_USERAG_2            User-Agent =~ /eGroups Message Poster/
1436 describe  SARE_USERAG_2            Strange user-agent header implying spam 
1437 score     SARE_USERAG_2            3.333
1438 #stype    SARE_USERAG_2            spamgg 
1439 #counts   SARE_USERAG_2            35s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1440 #max      SARE_USERAG_2            57s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1441 #counts   SARE_USERAG_2            1s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1442 #counts   SARE_USERAG_2            0s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1443 #max      SARE_USERAG_2            2s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1444 #counts   SARE_USERAG_2            0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1445 #max      SARE_USERAG_2            3s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1446 #counts   SARE_USERAG_2            0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1447
1448 header    SARE_USERAG_3            User-Agent =~ /8.0 for Windows sub 6014/i
1449 describe  SARE_USERAG_3            Strange user-agent header implying spam 
1450 score     SARE_USERAG_3            3.333
1451 #stype    SARE_USERAG_3            spamgg
1452 #hist     SARE_USERAG_3            Created by Bob Menschel Apr 28 2004
1453 #counts   SARE_USERAG_3            28s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1454 #max      SARE_USERAG_3            40s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1455 #counts   SARE_USERAG_3            8s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1456 #max      SARE_USERAG_3            9s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1457 #counts   SARE_USERAG_3            2s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1458 #max      SARE_USERAG_3            4s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1459 #counts   SARE_USERAG_3            0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1460 #max      SARE_USERAG_3            4s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1461 #counts   SARE_USERAG_3            0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1462
1463 header    SARE_USERAG_BAT          User-Agent =~ /^The Bat!/
1464 describe  SARE_USERAG_BAT          Spamware pretending to be 'The Bat!'
1465 score     SARE_USERAG_BAT          2.222
1466 #stype    SARE_USERAG_BAT          spamg
1467 #hist     SARE_USERAG_BAT          Tim Jackson, May 12 2005
1468 #counts   SARE_USERAG_BAT          94s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1469 #counts   SARE_USERAG_BAT          12s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1470 #max      SARE_USERAG_BAT          14s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1471 #counts   SARE_USERAG_BAT          1s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
1472 #counts   SARE_USERAG_BAT          15s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1473 #max      SARE_USERAG_BAT          19s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
1474 #counts   SARE_USERAG_BAT          15s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1475
1476 header    SARE_USERAG_SPAM0        User-Agent =~ /(?:Foxmail|VXmailer|Mail Bomber|Rodriquezmail|LMAIL|MOMENTUM)/
1477 describe  SARE_USERAG_SPAM0        Was sent by a SPAM User Agent
1478 score     SARE_USERAG_SPAM0        1.666
1479 #hist     SARE_USERAG_SPAM0        SARE_TM2_RW_UA
1480 #counts   SARE_USERAG_SPAM0        159s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1481 #max      SARE_USERAG_SPAM0        175s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1482 #counts   SARE_USERAG_SPAM0        18s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1483 #max      SARE_USERAG_SPAM0        29s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
1484 #counts   SARE_USERAG_SPAM0        5s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1485 #max      SARE_USERAG_SPAM0        19s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1486 #counts   SARE_USERAG_SPAM0        15s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1487 #counts   SARE_USERAG_SPAM0        3s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
1488
1489 #####################################################################################
1490 #         SARE X-Mailer Rules
1491 ########  ######################   ##################################################
1492
1493 header    SARE_XMAIL_DIRUNIV       X-Mailer =~ /Direct Universe/i
1494 describe  SARE_XMAIL_DIRUNIV       Apparently uses spam/bulk mailer
1495 score     SARE_XMAIL_DIRUNIV       1.111
1496 #stype    SARE_XMAIL_DIRUNIV       spamp
1497 #hist     SARE_XMAIL_DIRUNIV       Bob Menschel, May 14 2005
1498 #counts   SARE_XMAIL_DIRUNIV       36s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1499 #max      SARE_XMAIL_DIRUNIV       48s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
1500 #counts   SARE_XMAIL_DIRUNIV       0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1501 #counts   SARE_XMAIL_DIRUNIV       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1502 #counts   SARE_XMAIL_DIRUNIV       0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1503 #counts   SARE_XMAIL_DIRUNIV       0s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1504
1505 header    SARE_XMAIL_DYNAMAILER    X-Mailer =~ /Dynamailer/
1506 describe  SARE_XMAIL_DYNAMAILER    Bulk email fingerprint (DynaMailer) found
1507 score     SARE_XMAIL_DYNAMAILER    1.111
1508 #stype    SARE_XMAIL_DYNAMAILER    spamp
1509 #hist     SARE_XMAIL_DYNAMAILER    Suggested via SA Dev mailing list bug 4127, Feb 9 2005
1510 #counts   SARE_XMAIL_DYNAMAILER    14s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1511 #counts   SARE_XMAIL_DYNAMAILER    0s/0h of 54103 corpus (16925s/37178h JH-3.01) 02/15/05
1512 #counts   SARE_XMAIL_DYNAMAILER    0s/0h of 26190 corpus (22790s/3400h MY) 02/15/05
1513 #counts   SARE_XMAIL_DYNAMAILER    1s/0h of 682 corpus (290s/392h CRF) 02/16/05
1514 #counts   SARE_XMAIL_DYNAMAILER    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1515 #counts   SARE_XMAIL_DYNAMAILER    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1516
1517 header    SARE_XMAIL_FNORD         X-Mailer =~ m'KYX CP/M FNORD 5602'
1518 describe  SARE_XMAIL_FNORD         Recognized spam sign in xmail header
1519 score     SARE_XMAIL_FNORD         1.666
1520 #hist     SARE_XMAIL_FNORD         Loren Wilton, Jul 23 2005
1521 #counts   SARE_XMAIL_FNORD         527s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1522 #counts   SARE_XMAIL_FNORD         34s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1523 #counts   SARE_XMAIL_FNORD         0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
1524
1525 header    SARE_XMAIL_INTERMED      X-Mailer =~ /\bIntermedia mail\b/i
1526 describe  SARE_XMAIL_INTERMED      possible spamware
1527 score     SARE_XMAIL_INTERMED      0.850  
1528 #hist     SARE_XMAIL_INTERMED      Alex Broens, June 30 2005
1529 #counts   SARE_XMAIL_INTERMED      51s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1530 #counts   SARE_XMAIL_INTERMED      1s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1531 #counts   SARE_XMAIL_INTERMED      1s/0h of 6905 corpus (1401s/5504h ft) 07/24/05
1532
1533 header    SARE_XMAIL_LEO           X-Mailer =~ /^[A-Z][a-x]+\s[a-z]{2}\s\d\.\d\d\s*$/      # no /i
1534 score     SARE_XMAIL_LEO           2.333
1535 describe  SARE_XMAIL_LEO           Spamsign in x-mailer header
1536 #hist     SARE_XMAIL_LEO           Loren Wilton, Sept 07, 2005
1537 #counts   SARE_XMAIL_LEO           2625s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1538 #counts   SARE_XMAIL_LEO           0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1539 #counts   SARE_XMAIL_LEO           0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
1540
1541 header    SARE_XMAIL_PHPBulkEmai   X-Mailer =~ /PHPBulkEmailer/i
1542 describe  SARE_XMAIL_PHPBulkEmai   Apparently uses spam/bulk mailer
1543 score     SARE_XMAIL_PHPBulkEmai   1.111
1544 #stype    SARE_XMAIL_PHPBulkEmai   spamp
1545 #hist     SARE_XMAIL_PHPBulkEmai   Bob Menschel, Apr 11, 2005, from suggestion by Loren Wilton
1546 #counts   SARE_XMAIL_PHPBulkEmai   14s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1547 #max      SARE_XMAIL_PHPBulkEmai   45s/0h of 275081 corpus (134226s/140855h RM) 05/30/05
1548 #counts   SARE_XMAIL_PHPBulkEmai   1s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1549 #counts   SARE_XMAIL_PHPBulkEmai   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1550 #counts   SARE_XMAIL_PHPBulkEmai   0s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1551 #counts   SARE_XMAIL_PHPBulkEmai   1s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1552
1553 header    SARE_XMAIL_RANDMAILER    X-Mailer =~ /^([a-z]{4,12} ){1,3}$/
1554 describe  SARE_XMAIL_RANDMAILER    only 1-3 lowercase words in X-mailer field
1555 score     SARE_XMAIL_RANDMAILER    2.222  
1556 #hist     SARE_XMAIL_RANDMAILER    from Pierre Thomson
1557 #counts   SARE_XMAIL_RANDMAILER    413s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1558 #counts   SARE_XMAIL_RANDMAILER    103s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1559 #max      SARE_XMAIL_RANDMAILER    112s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1560 #counts   SARE_XMAIL_RANDMAILER    0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1561 #counts   SARE_XMAIL_RANDMAILER    0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1562 #max      SARE_XMAIL_RANDMAILER    20s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1563 #counts   SARE_XMAIL_RANDMAILER    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1564
1565 header    SARE_XMAIL_TTBOARD       X-Mailer =~ /TTBOARD/i 
1566 describe  SARE_XMAIL_TTBOARD       X-Mailer used by spammer
1567 score     SARE_XMAIL_TTBOARD       1.666
1568 #stype    SARE_XMAIL_TTBOARD       spamp
1569 #hist     SARE_XMAIL_TTBOARD       Created by Bob Menschel Jan 14 2005, based on info from Joel Rubin via Spam-L
1570 #counts   SARE_XMAIL_TTBOARD       15s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1571 #max      SARE_XMAIL_TTBOARD       230s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
1572 #counts   SARE_XMAIL_TTBOARD       0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1573 #counts   SARE_XMAIL_TTBOARD       0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1574 #counts   SARE_XMAIL_TTBOARD       0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1575 #counts   SARE_XMAIL_TTBOARD       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1576
1577 #####################################################################################
1578 #         SARE Miscellaneous and X-Header header rules 
1579 ########  ######################   ##################################################
1580
1581 header    SARE_HEAD_DATE46         Date =~ /^.{46}$/
1582 describe  SARE_HEAD_DATE46         Date header suggests this is spam
1583 score     SARE_HEAD_DATE46         1.666
1584 #counts   SARE_HEAD_DATE46         409s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1585 #counts   SARE_HEAD_DATE46         0s/0h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
1586 #counts   SARE_HEAD_DATE46         0s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1587 #counts   SARE_HEAD_DATE46         0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1588 #counts   SARE_HEAD_DATE46         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1589
1590 header    SARE_HEAD_LOC_INV1       Location =~ /^[a-z]+(?:\s[a-z]+)*$/ # no /i
1591 describe  SARE_HEAD_LOC_INV1       Improper location
1592 score     SARE_HEAD_LOC_INV1       1.666
1593 #hist     SARE_HEAD_LOC_INV1       Loren Wilton, Feb 21 2005
1594 #counts   SARE_HEAD_LOC_INV1       130s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1595 #counts   SARE_HEAD_LOC_INV1       24s/0h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
1596 #counts   SARE_HEAD_LOC_INV1       0s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
1597 #counts   SARE_HEAD_LOC_INV1       4s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1598 #max      SARE_HEAD_LOC_INV1       127s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1599 #counts   SARE_HEAD_LOC_INV1       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1600
1601 header    __MIME_VERSION           exists:MIME-Version
1602 header    __SARE_HEAD_MIME_VALID   Mime-Version =~ m'^\s*1.0\b'
1603 meta      SARE_HEAD_MIME_INVALID   !__SARE_HEAD_MIME_VALID && __MIME_VERSION
1604 describe  SARE_HEAD_MIME_INVALID   Invalid mime version
1605 score     SARE_HEAD_MIME_INVALID   1.666
1606 #stype    SARE_HEAD_MIME_INVALID   spamp
1607 #hist     SARE_HEAD_MIME_INVALID   Bob Menschel, June 15 2006, inspired by Alex Broens
1608 #counts   SARE_HEAD_MIME_INVALID   150s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1609 #counts   SARE_HEAD_MIME_INVALID   1s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1610
1611 header    __SARE_HEAD_MIME_PROD    MIME-Version =~ /\(produced by [a-z]+ \d\.\d\)/
1612 header    __SARE_HEAD_MIME_PROD2   Mime-Version =~ /^1\.0 \(produced by [a-z]{1,20} [0-9]\.[0-9]\)$/
1613 header    __SARE_HEAD_MIME_PROD3   MIME-Version =~ /1.0 \(produced by [a-z]+ \d+\.\d+\)\s*$/
1614 meta      SARE_HEAD_MIME_PROD      __SARE_HEAD_MIME_PROD || __SARE_HEAD_MIME_PROD2 || __SARE_HEAD_MIME_PROD3
1615 describe  SARE_HEAD_MIME_PROD      Ratware MIME Version
1616 score     SARE_HEAD_MIME_PROD      2.666
1617 #hist     SARE_HEAD_MIME_PROD      Originally: SARE_TM2_RW_MV
1618 #hist     SARE_HEAD_MIME_PROD      Feb 26 2005: Added patterns offered by Eric Fagan and Loren Wilton
1619 #counts   SARE_HEAD_MIME_PROD      284s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1620 #max      SARE_HEAD_MIME_PROD      862s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1621 #counts   SARE_HEAD_MIME_PROD      309s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1622 #max      SARE_HEAD_MIME_PROD      364s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
1623 #counts   SARE_HEAD_MIME_PROD      0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
1624 #counts   SARE_HEAD_MIME_PROD      62s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1625 #max      SARE_HEAD_MIME_PROD      460s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1626 #counts   SARE_HEAD_MIME_PROD      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1627
1628 header    SARE_HEAD_THRD_ALNUM     Thread-Index =~ /ALNUM/
1629 describe  SARE_HEAD_THRD_ALNUM     Spam fingerprint in thread index
1630 score     SARE_HEAD_THRD_ALNUM     0.839
1631 #hist     SARE_HEAD_THRD_ALNUM     Alex Broens, July 27 2005
1632 #counts   SARE_HEAD_THRD_ALNUM     51s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1633 #counts   SARE_HEAD_THRD_ALNUM     0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1634
1635 header    SARE_HEAD_XMF_AUTHSNDR   X-Message-flag =~ /Authentic Sender/i
1636 describe  SARE_HEAD_XMF_AUTHSNDR   Headers contains spam sign
1637 score     SARE_HEAD_XMF_AUTHSNDR   1.666
1638 #stype    SARE_HEAD_XMF_AUTHSNDR   spamp
1639 #hist     SARE_HEAD_XMF_AUTHSNDR   Created by Bob Menschel Jan 29 2005 from idea submitted by Alex Broens 
1640 #counts   SARE_HEAD_XMF_AUTHSNDR   109s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1641 #max      SARE_HEAD_XMF_AUTHSNDR   726s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
1642 #counts   SARE_HEAD_XMF_AUTHSNDR   67s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1643 #counts   SARE_HEAD_XMF_AUTHSNDR   27s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1644 #max      SARE_HEAD_XMF_AUTHSNDR   54s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1645 #counts   SARE_HEAD_XMF_AUTHSNDR   26s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1646 #max      SARE_HEAD_XMF_AUTHSNDR   89s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1647 #counts   SARE_HEAD_XMF_AUTHSNDR   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1648
1649 header    SARE_HEAD_XM4            ALL =~ /\nX-M-.{4}:/          # usually 4:28:12
1650 describe  SARE_HEAD_XM4            Contains spamsign header 
1651 score     SARE_HEAD_XM4            1.111
1652 #stype    SARE_HEAD_XM4            spamp
1653 #hist     SARE_HEAD_XM4            Loren Wilton, June 2005
1654 #counts   SARE_HEAD_XM4            80s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1655 #counts   SARE_HEAD_XM4            0s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1656 #counts   SARE_HEAD_XM4            0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1657
1658 header    SARE_HEAD_XMIMEO_MS      X-MimeOLE =~ /Mircosoft MimeOLE/i
1659 describe  SARE_HEAD_XMIMEO_MS      Ratware-misspelled header
1660 score     SARE_HEAD_XMIMEO_MS      1.666
1661 #stype    SARE_HEAD_XMIMEO_MS      spamg
1662 #hist     SARE_HEAD_XMIMEO_MS      Idea from dfs@roaringpenguin.com, http://bugzilla.spamassassin.org/show_bug.cgi?id=3349
1663 #counts   SARE_HEAD_XMIMEO_MS      27s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1664 #max      SARE_HEAD_XMIMEO_MS      36s/0h of 273595 corpus (108821s/164774h RM) 05/13/05
1665 #counts   SARE_HEAD_XMIMEO_MS      0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
1666 #counts   SARE_HEAD_XMIMEO_MS      0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1667 #counts   SARE_HEAD_XMIMEO_MS      0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1668 #counts   SARE_HEAD_XMIMEO_MS      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1669
1670 #####################################################################################
1671 #         SARE Rules which identify headers found in email bodies
1672 ########  ######################   ##################################################
1673
1674 rawbody   SARE_HEAD_BDY_BOUNCES    /^Bounces_to: .{1,50}\@/
1675 describe  SARE_HEAD_BDY_BOUNCES    Message header suggesting spam in body
1676 score     SARE_HEAD_BDY_BOUNCES    1.666
1677 #note     SARE_HEAD_BDY_BOUNCES    Normally valid header currently very popular in spam. Presence in bounced emails strongly suggests bounced spam
1678 #hist     SARE_HEAD_BDY_BOUNCES    Bob Menschel, Apr 10 2005
1679 #counts   SARE_HEAD_BDY_BOUNCES    1s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1680 #max      SARE_HEAD_BDY_BOUNCES    433s/0h of 271461 corpus (129860s/141601h RM) 06/12/05
1681 #counts   SARE_HEAD_BDY_BOUNCES    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1682 #counts   SARE_HEAD_BDY_BOUNCES    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1683 #counts   SARE_HEAD_BDY_BOUNCES    0s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1684
1685 #####################################################################################
1686 #         SARE Rules which examine multiple header types
1687 ########  ######################   ##################################################
1688
1689 header    __THEBAT_MUA             X-Mailer =~ /The Bat!/
1690 header    __SARE_HEAD_WEBMAIL      Message-ID =~ /<.+\@(yahoo|hotmail|cfswebmail)\.com>$/i
1691 header    __SARE_HEAD_MAIL_BAT2    User-Agent =~ /^The Bat!/
1692 meta      SARE_HEAD_BAT_WEB        __SARE_HEAD_WEBMAIL && ( __THEBAT_MUA || __SARE_HEAD_MAIL_BAT2 ) 
1693 describe  SARE_HEAD_BAT_WEB        Webmail message ID, but The Bat! X-Mailer
1694 score     SARE_HEAD_BAT_WEB        3.333
1695 #stype    SARE_HEAD_BAT_WEB        spamg
1696 #hist     SARE_HEAD_BAT_WEB        Tim Jackson, May 11 2005
1697 #counts   SARE_HEAD_BAT_WEB        1029s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1698 #counts   SARE_HEAD_BAT_WEB        1s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1699 #counts   SARE_HEAD_BAT_WEB        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1700 #counts   SARE_HEAD_BAT_WEB        32s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1701
1702 header    __SARE_MULT_BMASTGR1     Received    =~ /for bmastgr\@/
1703 header    __SARE_MULT_BMASTGR2     ToCc        =~ /\bbmastgr\@/
1704 header    __SARE_MULT_BMASTGR3     From        =~ /\bbmastgr\@/
1705 header    __SARE_MULT_BMASTGR4     Envelope-to =~ /\bbmastgr\@/
1706 header    __SARE_MULT_BMASTGR5     Subject     =~ /\bbmastgr\b/
1707 meta      SARE_MULT_BMASTGR        ( __SARE_MULT_BMASTGR1 || __SARE_MULT_BMASTGR2 || __SARE_MULT_BMASTGR3 || __SARE_MULT_BMASTGR4 || __SARE_MULT_BMASTGR5 )
1708 describe  SARE_MULT_BMASTGR        Directed to/from invalid address 
1709 score     SARE_MULT_BMASTGR        5.000
1710 #stype    SARE_MULT_BMASTGR        spamggg
1711 #hist     SARE_MULT_MBASTGR        Missing meta dependencies fixed by Fred T, Oct 6 2005
1712 #counts   SARE_MULT_BMASTGR        497s/0h of 487606 corpus (219627s/267979h RM) 10/07/05
1713 #max      SARE_MULT_BMASTGR        1336s/0h of 115925 corpus (94616s/21309h RM) 05/01/04
1714 #counts   SARE_MULT_BMASTGR        0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
1715 #counts   SARE_MULT_BMASTGR        0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
1716 #counts   SARE_MULT_BMASTGR        0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1717 #counts   SARE_MULT_BMASTGR        0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1718 #counts   SARE_MULT_BMASTGR        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1719
1720 header    SARE_MULT_FROM           ALL =~ /\nFrom:.{10,150}\nFrom:.{10,150}\nFrom:/s
1721 score     SARE_MULT_FROM           0.777
1722 describe  SARE_MULT_FROM           Many from lines
1723 #hist     SARE_MULT_FROM           Loren Wilton, June 2005
1724 #counts   SARE_MULT_FROM           0s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1725 #max      SARE_MULT_FROM           40s/0h of 271461 corpus (129860s/141601h RM) 06/12/05
1726 #counts   SARE_MULT_FROM           0s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
1727 #counts   SARE_MULT_FROM           0s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
1728 #counts   SARE_MULT_FROM           0s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1729 #counts   SARE_MULT_FROM           0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1730
1731 header    __SARE_MULT_FROM_MRS     From =~ /"Mrs[\. ][A-Z][a-z]+"/
1732 header    __SARE_MULT_HITHERE      Subject =~ /^(?:HELLO|Hello|Hey|Hi)\w{0,8},?(?:Mrs\.)?/
1733 body      __SARE_MULT_PROFILE      /(?:on-?line profile|profile (?:is )?on-?line)/
1734 meta      SARE_MULT_SEXCLUB        __SARE_MULT_HITHERE && (__SARE_MULT_PROFILE || __SARE_MULT_FROM_MRS)
1735 describe  SARE_MULT_SEXCLUB        Adult invitation spam
1736 score     SARE_MULT_SEXCLUB        1.666
1737 #hist     SARE_MULT_SEXCLUB        Loren Wilton, Feb 22 2005
1738 #counts   SARE_MULT_SEXCLUB        2s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1739 #max      SARE_MULT_SEXCLUB        114s/0h of 283497 corpus (129933s/153564h RM) 03/08/05
1740 #counts   SARE_MULT_SEXCLUB        8s/0h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
1741 #counts   SARE_MULT_SEXCLUB        54s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
1742 #max      SARE_MULT_SEXCLUB        59s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1743 #counts   SARE_MULT_SEXCLUB        11s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1744 #max      SARE_MULT_SEXCLUB        22s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1745 #counts   SARE_MULT_SEXCLUB        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1746
1747 header    SARE_MULT_SUBJ           ALL =~ /\nSubject:.{10,150}\nSubject:.{10,150}\nSubject:/s
1748 score     SARE_MULT_SUBJ           0.777
1749 describe  SARE_MULT_SUBJ           Many subject lines
1750 #hist     SARE_MULT_SUBJ           Loren Wilton, June 2005
1751 #counts   SARE_MULT_SUBJ           0s/0h of 619677 corpus (318875s/300802h RM) 09/11/05
1752 #max      SARE_MULT_SUBJ           40s/0h of 271461 corpus (129860s/141601h RM) 06/12/05
1753 #counts   SARE_MULT_SUBJ           0s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
1754 #counts   SARE_MULT_SUBJ           0s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
1755 #counts   SARE_MULT_SUBJ           0s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1756 #counts   SARE_MULT_SUBJ           0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
1757
1758 # EOF
1759
1760 # SARE Header Abuse Ruleset for SpamAssassin -- file 1
1761 # Version:  01.03.16
1762 # Created:  2004-04-25
1763 # Modified: 2005-10-28
1764 # Usage instructions and documentation in 70_sare_header0.cf 
1765
1766 # Full Revision History / Change Log in 70_sare_header.log
1767 #@@# 01.03.16  Oct 28 2005
1768 #@@#           Minor score updates based on additional mass-check
1769 #@@#           Added to file 1:          SARE_HEAD_HDR_XLEGAL1, 2, 3, 4
1770 #@@#           Added to file 1:          SARE_HEAD_HDR_XSIDPRA
1771 #@@#           Added to file 1:          SARE_HEAD_HDR_XSIDRES
1772 #@@#           Added to file 1:          SARE_RECV_IP_064034
1773 #@@#           Added to file 1:          SARE_RECV_IP_209051
1774 #@@#           Added to file 1:          SARE_RECV_IP_209190
1775 #@@#           Added to file 1:          SARE_RECV_IP_216118120
1776 #@@#           Modified:                 SARE_FROM_SPAM_DOMN0: split yahoo.net to separate rule
1777 #@@#           Moved file 0 to file 1:   SARE_BOUNDARY_LC
1778 #@@#           Moved file 0 to file 1:   SARE_FREE_WEBM_FrVoila
1779 #@@#           Moved file 0 to file 1:   SARE_FREE_WEBM_Mailexc
1780 #@@#           Moved file 0 to file 1:   SARE_HEAD_HDR_XBBOUNC
1781 #@@#           Moved file 0 to file 1:   SARE_HEAD_XWORD
1782 #@@#           Moved file 0 to file 1:   SARE_RECV_IP_066165224
1783 #@@#           Moved file 0 to file 1:   SARE_RECV_IP_218088
1784 #@@#           Moved file 0 to file 1:   SARE_XMAIL_TOLMAIL
1785 #@@#           Moved file 1 to file 0:   SARE_HEAD_XMIMEO_MS
1786 #@@#           Moved file 1 to file 0:   SARE_RECV_IP_069060122
1787 #@@#           Moved file 1 to file 0:   SARE_XMAIL_DYNAMAILER
1788 #@@#           Moved file 1 to file 2:   SARE_FREE_WEBM_USACOPS
1789 #@@#           Moved file 1 to file 2:   SARE_HEAD_HDR_XEMGBMS
1790 #@@#           Moved file 1 to file 2:   SARE_HEAD_XCANIT1
1791 #@@#           Moved file 1 to file 2:   SARE_HEAD_XCANIT2
1792 #@@#           Moved file 1 to file 2:   SARE_MSGID_SPAM_DOMN0
1793 #@@#           Moved file 1 to file 2:   SARE_MSGID_SUSP2
1794 #@@#           Moved file 1 to file 2:   SARE_RECV_IP_081019
1795 #@@#           Moved file 1 to file 2:   SARE_RECV_IP_211049
1796 #@@#           Moved file 1 to file 2:   SARE_RECV_RND_NUMBER
1797 #@@#           Moved file 1 to file 3:   SARE_FROM_NONAME
1798 #@@#           Moved file 1 to file 3:   SARE_FROM_SPAM_CHAR0
1799 #@@#           Moved file 1 to file 3:   SARE_HEAD_XCOM_RFCMIN
1800 #@@#           Moved file 1 to file 3:   SARE_RECV_IP_080178
1801 #@@#           Moved file 1 to file 3:   SARE_XMAIL_SUSP3
1802 #@@#           Moved file 2 to file 1:   SARE_FROM_AST
1803 #@@#           Moved file 2 to file 1:   SARE_HEAD_HDR_XCNDINF
1804 #@@#           Moved file 3 to file 1:   SARE_FROM_SPAM_MONEY2
1805 #@@#           Moved from file 1 to x31: SARE_MSGID_DBL_AT
1806 #@@#           Replaced                  __SARE_HEAD_HDR_RCVD with SA 3.1.0 rule __HAS_RCVD
1807 #@@#           Split mail2world.com from SARE_FREE_WEBM_ZCom03
1808
1809 # License: Artistic - see http://www.rulesemporium.com/license.txt 
1810 # Current Maintainer: Bob Menschel - RMSA@Menschel.net
1811 # Current Home: http://www.rulesemporium.com/rules/70_sare_header1.cf 
1812
1813 ########  ######################   ##################################################
1814 #    Component rules used within meta rules 
1815 ########  ######################   ##################################################
1816
1817 header    __SARE_HEAD_8BIT_SUBJ    Subject =~ /[\x80-\xff]{3,}/
1818
1819 ########  ######################   ##################################################
1820 #    Meta rules used to prevent --lint errors after moving/changing rules
1821 ########  ######################   ##################################################
1822
1823 meta      SARE_FREE_WEBM_CZSEZNA   0
1824 meta      SARE_FROM_MULTI_DASH     0
1825 meta      SARE_HEAD_DATE18         0
1826 meta      SARE_MSGID_LONG40        0
1827 meta      SARE_MSGID_LONG55        0
1828 meta      SARE_MULT_VIA_FWCATS     0
1829 meta      SARE_RECV_IP_064080      0
1830 meta      SARE_RECV_ISWEST         0
1831 meta      SARE_FROM_AMERICA        0
1832 meta      SARE_HEAD_SUBJ_RAND      0
1833 meta      SARE_HEAD_XORIP_IP       0
1834 meta      SARE_MSGID_06D6          0
1835 meta      SARE_RECV_IP_142046      0
1836 meta      SARE_RECV_IP_212164      0
1837 meta      SARE_BOUNDARY_MULTB      0
1838 meta      SARE_FROM_NUM_9DIG       0
1839 meta      SARE_FROM_PRINTER        0
1840 meta      SARE_HEAD_8BIT_NOSPM     0
1841 meta      SARE_HEAD_8BIT_SPAM      0
1842 meta      SARE_HEAD_HDR_XCCDIAG    0
1843 meta      SARE_HEAD_HDR_XMAILTH    0
1844 meta      SARE_HEAD_HDR_XSMTPSV    0
1845 meta      SARE_HEAD_HDR_XUMAIL     0
1846 meta      SARE_HELO_SERVER         0
1847 meta      SARE_MSGID_LONG35        0
1848 meta      SARE_MSGID_LONG65        0
1849 meta      SARE_MSGID_LONG75        0
1850 meta      SARE_RECV_IP_066111      0
1851 meta      SARE_RECV_SUSP_3         0
1852 meta      SARE_XMAIL_XMAIL         0
1853 meta      SARE_HEAD_HDR_XEMGBMS    0
1854 meta      SARE_HEAD_XCANIT1        0
1855 meta      SARE_HEAD_XCANIT2        0
1856 meta      SARE_MSGID_SPAM_DOMN0    0
1857 meta      SARE_MSGID_SUSP2         0
1858 meta      SARE_RECV_IP_081019      0
1859 meta      SARE_RECV_IP_211049      0
1860 meta      SARE_RECV_RND_NUMBER     0
1861 meta      SARE_FROM_NONAME         0
1862 meta      SARE_FROM_SPAM_CHAR0     0
1863 meta      SARE_HEAD_XCOM_RFCMIN    0
1864 meta      SARE_RECV_IP_080178      0
1865 meta      SARE_XMAIL_SUSP3         0
1866 meta      SARE_MSGID_DBL_AT        0
1867 meta      SARE_FREE_WEBM_USACOPS   0
1868
1869 #####################################################################################
1870 #         SARE Header-Exists rules
1871 ########  ######################   ##################################################
1872
1873 header    SARE_HEAD_HDR_ALTREC     exists:Alternate-Recipient
1874 describe  SARE_HEAD_HDR_ALTREC     Message headers used which identify spam
1875 score     SARE_HEAD_HDR_ALTREC     0.148
1876 #ham      SARE_HEAD_HDR_ALTREC     "Alternate-recipient: prohibited", From: JOEL RHEINBERGER <xxx@abc.net.au>, UA-content-id: A266IPY323WU, A1-type: MAIL, Hop-count: 1, Received: from VAXB.abc.net.au, no indication which email client was used
1877 #counts   SARE_HEAD_HDR_ALTREC     98s/5h of 689155 corpus (348140s/341015h RM) 09/18/05
1878 #max      SARE_HEAD_HDR_ALTREC     324s/4h of 115509 corpus (81073s/34436h RM) 01/16/05
1879 #counts   SARE_HEAD_HDR_ALTREC     0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
1880 #counts   SARE_HEAD_HDR_ALTREC     43s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1881 #max      SARE_HEAD_HDR_ALTREC     44s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1882 #counts   SARE_HEAD_HDR_ALTREC     19s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1883 #max      SARE_HEAD_HDR_ALTREC     21s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
1884 #counts   SARE_HEAD_HDR_ALTREC     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1885
1886 header    SARE_HEAD_HDR_APPROV     exists:Approved
1887 describe  SARE_HEAD_HDR_APPROV     Message headers used which identify spam
1888 score     SARE_HEAD_HDR_APPROV     0.817
1889 #hist     SARE_HEAD_HDR_APPROV     Moved file 0 to 1, version 01.03.09, 2 ham confirmed
1890 #counts   SARE_HEAD_HDR_APPROV     21s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
1891 #max      SARE_HEAD_HDR_APPROV     163s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1892 #counts   SARE_HEAD_HDR_APPROV     0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
1893 #counts   SARE_HEAD_HDR_APPROV     19s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1894 #max      SARE_HEAD_HDR_APPROV     21s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1895 #counts   SARE_HEAD_HDR_APPROV     7s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1896 #max      SARE_HEAD_HDR_APPROV     19s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1897 #counts   SARE_HEAD_HDR_APPROV     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1898
1899 #todo     SARE_HEAD_HDR_AUTSUBD    Test both rules independently %%%
1900 header    SARE_HEAD_HDR_AUTSUBD    exists:Auto-submitted
1901 header    SARE_HEAD_HDR_AUTSUBD    exists:X-RMD-Text
1902 describe  SARE_HEAD_HDR_AUTSUBD    Message headers used which identify spam
1903 score     SARE_HEAD_HDR_AUTSUBD    1.111
1904 #stype    SARE_HEAD_HDR_AUTSUBD    spamp
1905 #counts   SARE_HEAD_HDR_AUTSUBD    33s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1906 #counts   SARE_HEAD_HDR_AUTSUBD    0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1907 #max      SARE_HEAD_HDR_AUTSUBD    1s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
1908 #counts   SARE_HEAD_HDR_AUTSUBD    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1909 #counts   SARE_HEAD_HDR_AUTSUBD    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1910 #counts   SARE_HEAD_HDR_AUTSUBD    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1911
1912 header    SARE_HEAD_HDR_DISCREC    exists:Disclose-Recipients
1913 describe  SARE_HEAD_HDR_DISCREC    Message headers used which identify spam
1914 score     SARE_HEAD_HDR_DISCREC    0.739
1915 #ham      SARE_HEAD_HDR_DISCREC    confirmed (4), Used by usdoj.gov
1916 #counts   SARE_HEAD_HDR_DISCREC    28s/1h of 689155 corpus (348140s/341015h RM) 09/18/05
1917 #max      SARE_HEAD_HDR_DISCREC    210s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
1918 #counts   SARE_HEAD_HDR_DISCREC    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
1919 #counts   SARE_HEAD_HDR_DISCREC    32s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1920 #max      SARE_HEAD_HDR_DISCREC    33s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1921 #counts   SARE_HEAD_HDR_DISCREC    5s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1922 #max      SARE_HEAD_HDR_DISCREC    9s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1923 #counts   SARE_HEAD_HDR_DISCREC    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1924
1925 header    SARE_HEAD_HDR_MSGTYPE    exists:Message-Type
1926 describe  SARE_HEAD_HDR_MSGTYPE    Message headers used which identify spam
1927 score     SARE_HEAD_HDR_MSGTYPE    0.555
1928 #stype    SARE_HEAD_HDR_MSGTYPE    spamp
1929 #counts   SARE_HEAD_HDR_MSGTYPE    1s/0h of 259338 corpus (110116s/149222h RM) 05/16/05
1930 #max      SARE_HEAD_HDR_MSGTYPE    1s/0h of 115509 corpus (81073s/34436h RM) 01/16/05
1931 #counts   SARE_HEAD_HDR_MSGTYPE    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
1932 #counts   SARE_HEAD_HDR_MSGTYPE    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1933 #counts   SARE_HEAD_HDR_MSGTYPE    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1934 #counts   SARE_HEAD_HDR_MSGTYPE    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1935
1936 header    SARE_HEAD_HDR_X400RCV    exists:X400-Received
1937 describe  SARE_HEAD_HDR_X400RCV    Message headers used which identify spam
1938 score     SARE_HEAD_HDR_X400RCV    0.555
1939 #stype    SARE_HEAD_HDR_X400RCV    spamp
1940 #counts   SARE_HEAD_HDR_X400RCV    1s/0h of 259338 corpus (110116s/149222h RM) 05/16/05
1941 #max      SARE_HEAD_HDR_X400RCV    1s/0h of 114261 corpus (81069s/33192h RM) 01/15/05
1942 #counts   SARE_HEAD_HDR_X400RCV    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
1943 #counts   SARE_HEAD_HDR_X400RCV    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1944 #counts   SARE_HEAD_HDR_X400RCV    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1945 #counts   SARE_HEAD_HDR_X400RCV    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1946
1947 header    SARE_HEAD_HDR_XBBOUNC    exists:X-BBounce
1948 describe  SARE_HEAD_HDR_XBBOUNC    Message headers used which identify spam
1949 score     SARE_HEAD_HDR_XBBOUNC    0.878
1950 #ham      SARE_HEAD_HDR_XBBOUNC    likely (2) 
1951 #counts   SARE_HEAD_HDR_XBBOUNC    174s/2h of 689155 corpus (348140s/341015h RM) 09/18/05
1952 #counts   SARE_HEAD_HDR_XBBOUNC    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
1953 #counts   SARE_HEAD_HDR_XBBOUNC    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1954 #counts   SARE_HEAD_HDR_XBBOUNC    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1955 #counts   SARE_HEAD_HDR_XBBOUNC    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1956
1957 header    SARE_HEAD_HDR_XCNDINF    exists:X-CND-Info
1958 describe  SARE_HEAD_HDR_XCNDINF    Message headers used which identify spam
1959 score     SARE_HEAD_HDR_XCNDINF    0.555
1960 #stype    SARE_HEAD_HDR_XCNDINF    spamp
1961 #counts   SARE_HEAD_HDR_XCNDINF    6s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
1962 #counts   SARE_HEAD_HDR_XCNDINF    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
1963 #counts   SARE_HEAD_HDR_XCNDINF    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
1964 #counts   SARE_HEAD_HDR_XCNDINF    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1965 #counts   SARE_HEAD_HDR_XCNDINF    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1966
1967 header    SARE_HEAD_HDR_XENC       exists:X-ENC
1968 describe  SARE_HEAD_HDR_XENC       Message headers used which identify spam
1969 score     SARE_HEAD_HDR_XENC       1.111
1970 #stype    SARE_HEAD_HDR_XENC       spamp
1971 #hist     SARE_HEAD_HDR_XENC       Created by Bob Menschel Sep 03 2004
1972 #counts   SARE_HEAD_HDR_XENC       0s/0h of 273595 corpus (108821s/164774h RM) 05/13/05
1973 #max      SARE_HEAD_HDR_XENC       19s/0h of 115509 corpus (81073s/34436h RM) 01/16/05
1974 #counts   SARE_HEAD_HDR_XENC       1s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
1975 #counts   SARE_HEAD_HDR_XENC       0s/0h of 44754 corpus (16523s/28231h JH-SA3.0rc1) 09/06/04
1976 #counts   SARE_HEAD_HDR_XENC       0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
1977 #counts   SARE_HEAD_HDR_XENC       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
1978
1979 header    __HAS_RCVD               exists:Received
1980 header    __SARE_HEAD_HDR_IDKEY    exists:X-Identity-Key
1981 meta      SARE_HEAD_HDR_XIDKEY     __SARE_HEAD_HDR_IDKEY  && __HAS_RCVD
1982 header    SARE_HEAD_HDR_XIDKEY     exists:X-Identity-Key
1983 describe  SARE_HEAD_HDR_XIDKEY     Apparent spam sign in headers
1984 score     SARE_HEAD_HDR_XIDKEY     1.666
1985 #ham      SARE_HEAD_HDR_XIDKEY     verified (4)
1986 #hist     SARE_HEAD_HDR_XIDKEY     Created by Chris Santerre Aug 31 2004
1987 #counts   SARE_HEAD_HDR_XIDKEY     3611s/2h of 689155 corpus (348140s/341015h RM) 09/18/05
1988 #counts   SARE_HEAD_HDR_XIDKEY     68s/2h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
1989 #counts   SARE_HEAD_HDR_XIDKEY     0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
1990 #counts   SARE_HEAD_HDR_XIDKEY     67s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
1991 #counts   SARE_HEAD_HDR_XIDKEY     3s/1h of 7500 corpus (1767s/5733h ft) 09/18/05
1992
1993 header    __SARE_HEAD_HDR_XLEGAL   exists:X-Legal
1994 header    __SARE_HEAD_HDR_XLEGAC   X-Legal =~ m'copyright|\(c\)'i
1995 header    __SARE_HEAD_HDR_XLEGAI   X-Legal =~ m'in compliance'i
1996 header    __SARE_HEAD_HDR_XLEGAB   X-Legal =~ m'BE ADVISED'i
1997 meta      SARE_HEAD_HDR_XLEGAL1    __SARE_HEAD_HDR_XLEGAB && __SARE_HEAD_HDR_XLEGAI && !__SARE_HEAD_HDR_XLEGAC
1998 describe  SARE_HEAD_HDR_XLEGAL1    Message headers used which identify spam
1999 score     SARE_HEAD_HDR_XLEGAL1    1.666
2000 #stype    SARE_HEAD_HDR_XLEGAL1    spamgg
2001 #hist     SARE_HEAD_HDR_XLEGAL1    Bob Menschel, Aug 07 2005
2002 #counts   SARE_HEAD_HDR_XLEGAL1    7s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2003 #counts   SARE_HEAD_HDR_XLEGAL1    0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
2004 #counts   SARE_HEAD_HDR_XLEGAL1    0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
2005
2006 meta      SARE_HEAD_HDR_XLEGAL2    ( __SARE_HEAD_HDR_XLEGAB || __SARE_HEAD_HDR_XLEGAI ) && !__SARE_HEAD_HDR_XLEGAC && !SARE_HEAD_HDR_XLEGAL1
2007 describe  SARE_HEAD_HDR_XLEGAL2    Message headers used which identify spam
2008 score     SARE_HEAD_HDR_XLEGAL2    1.666
2009 #stype    SARE_HEAD_HDR_XLEGAL2    spamgg
2010 #hist     SARE_HEAD_HDR_XLEGAL2    Bob Menschel, Aug 07 2005
2011 #counts   SARE_HEAD_HDR_XLEGAL2    0s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2012 #counts   SARE_HEAD_HDR_XLEGAL2    0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
2013 #counts   SARE_HEAD_HDR_XLEGAL2    0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
2014
2015 meta      SARE_HEAD_HDR_XLEGAL3    __SARE_HEAD_HDR_XLEGAL && !SARE_HEAD_HDR_XLEGAL1 && !SARE_HEAD_HDR_XLEGAL1 && !__SARE_HEAD_HDR_XLEGAC
2016 describe  SARE_HEAD_HDR_XLEGAL3    Message headers used which identify spam
2017 score     SARE_HEAD_HDR_XLEGAL3    1.666
2018 #stype    SARE_HEAD_HDR_XLEGAL3    spamgg
2019 #hist     SARE_HEAD_HDR_XLEGAL3    Bob Menschel, Aug 07 2005
2020 #counts   SARE_HEAD_HDR_XLEGAL3    0s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2021 #counts   SARE_HEAD_HDR_XLEGAL3    0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
2022 #counts   SARE_HEAD_HDR_XLEGAL3    0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
2023
2024 meta      SARE_HEAD_HDR_XLEGAL4    __SARE_HEAD_HDR_XLEGAL && !SARE_HEAD_HDR_XLEGAL1 && !SARE_HEAD_HDR_XLEGAL1 && !SARE_HEAD_HDR_XLEGAL3
2025 describe  SARE_HEAD_HDR_XLEGAL4    Message headers used which might identify spam
2026 score     SARE_HEAD_HDR_XLEGAL4    0.100
2027 #hist     SARE_HEAD_HDR_XLEGAL4    Bob Menschel, Aug 07 2005
2028 #counts   SARE_HEAD_HDR_XLEGAL4    3s/4h of 689155 corpus (348140s/341015h RM) 09/18/05
2029 #counts   SARE_HEAD_HDR_XLEGAL4    0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
2030 #counts   SARE_HEAD_HDR_XLEGAL4    0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
2031
2032 header    SARE_HEAD_HDR_XLISTAD    exists:X-LISTADDRESS
2033 describe  SARE_HEAD_HDR_XLISTAD    Message headers used which identify spam
2034 score     SARE_HEAD_HDR_XLISTAD    1.111
2035 #stype    SARE_HEAD_HDR_XLISTAD    spamp
2036 #counts   SARE_HEAD_HDR_XLISTAD    46s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2037 #counts   SARE_HEAD_HDR_XLISTAD    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
2038 #counts   SARE_HEAD_HDR_XLISTAD    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2039 #counts   SARE_HEAD_HDR_XLISTAD    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2040 #counts   SARE_HEAD_HDR_XLISTAD    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2041
2042 header    SARE_HEAD_HDR_XMAILID    exists:X-Mailid
2043 describe  SARE_HEAD_HDR_XMAILID    Message headers used which identify spam
2044 score     SARE_HEAD_HDR_XMAILID    0.966
2045 #counts   SARE_HEAD_HDR_XMAILID    222s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2046 #counts   SARE_HEAD_HDR_XMAILID    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
2047 #counts   SARE_HEAD_HDR_XMAILID    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2048 #counts   SARE_HEAD_HDR_XMAILID    0s/2h of 10590 corpus (5819s/4771h CT) 07/26/05
2049 #was      SARE_HEAD_HDR_XMAILID    0s/3h of 10853 corpus (6391s/4462h CT) 05/16/05
2050 #counts   SARE_HEAD_HDR_XMAILID    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2051
2052 header    SARE_HEAD_HDR_XMEBDOM    exists:X-ME-bounce-domain
2053 describe  SARE_HEAD_HDR_XMEBDOM    Message headers used which identify spam
2054 score     SARE_HEAD_HDR_XMEBDOM    0.555
2055 #stype    SARE_HEAD_HDR_XMEBDOM    spamp
2056 #counts   SARE_HEAD_HDR_XMEBDOM    2s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2057 #max      SARE_HEAD_HDR_XMEBDOM    8s/0h of 273595 corpus (108821s/164774h RM) 05/13/05
2058 #counts   SARE_HEAD_HDR_XMEBDOM    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
2059 #counts   SARE_HEAD_HDR_XMEBDOM    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2060 #counts   SARE_HEAD_HDR_XMEBDOM    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2061 #counts   SARE_HEAD_HDR_XMEBDOM    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2062
2063 header    SARE_HEAD_HDR_XMLRSRV    exists:X-Mailer-Server
2064 describe  SARE_HEAD_HDR_XMLRSRV    Message headers used which identify spam
2065 score     SARE_HEAD_HDR_XMLRSRV    0.372 
2066 #ham      SARE_HEAD_HDR_XMLRSRV    verified (1)
2067 #counts   SARE_HEAD_HDR_XMLRSRV    67s/10h of 689155 corpus (348140s/341015h RM) 09/18/05
2068 #counts   SARE_HEAD_HDR_XMLRSRV    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
2069 #counts   SARE_HEAD_HDR_XMLRSRV    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2070 #counts   SARE_HEAD_HDR_XMLRSRV    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2071 #counts   SARE_HEAD_HDR_XMLRSRV    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2072
2073 header    SARE_HEAD_HDR_XRESPID    exists:X-Response-ID
2074 describe  SARE_HEAD_HDR_XRESPID    Message headers used which identify spam
2075 score     SARE_HEAD_HDR_XRESPID    1.111
2076 #stype    SARE_HEAD_HDR_XRESPID    spamp
2077 #counts   SARE_HEAD_HDR_XRESPID    35s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2078 #counts   SARE_HEAD_HDR_XRESPID    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
2079 #counts   SARE_HEAD_HDR_XRESPID    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2080 #counts   SARE_HEAD_HDR_XRESPID    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2081 #counts   SARE_HEAD_HDR_XRESPID    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2082
2083 header    SARE_HEAD_HDR_XRIPE      exists:X-RIPE
2084 describe  SARE_HEAD_HDR_XRIPE      Message headers used which identify spam
2085 score     SARE_HEAD_HDR_XRIPE      1.111
2086 #stype    SARE_HEAD_HDR_XRIPE      spamp
2087 #counts   SARE_HEAD_HDR_XRIPE      4s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2088 #max      SARE_HEAD_HDR_XRIPE      16s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
2089 #counts   SARE_HEAD_HDR_XRIPE      0s/0h of 10995 corpus (6568s/4427h CT) 03/10/05
2090 #counts   SARE_HEAD_HDR_XRIPE      0s/0h of 54806 corpus (17633s/37173h JH-3.01) 03/14/05
2091 #counts   SARE_HEAD_HDR_XRIPE      0s/0h of 31513 corpus (27912s/3601h MY) 03/09/05
2092 #counts   SARE_HEAD_HDR_XRIPE      0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2093 #counts   SARE_HEAD_HDR_XRIPE      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2094
2095 header    SARE_HEAD_HDR_XSAFMMI    exists:X-SafeMailer-MsgId
2096 describe  SARE_HEAD_HDR_XSAFMMI    Message headers used which identify spam
2097 score     SARE_HEAD_HDR_XSAFMMI    0.555
2098 #stype    SARE_HEAD_HDR_XSAFMMI    spamp
2099 #counts   SARE_HEAD_HDR_XSAFMMI    1s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2100 #max      SARE_HEAD_HDR_XSAFMMI    1s/0h of 114238 corpus (81067s/33171h RM) 01/15/05
2101 #counts   SARE_HEAD_HDR_XSAFMMI    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
2102 #counts   SARE_HEAD_HDR_XSAFMMI    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2103 #counts   SARE_HEAD_HDR_XSAFMMI    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2104 #counts   SARE_HEAD_HDR_XSAFMMI    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2105
2106 header    SARE_HEAD_HDR_XSIDPRA    exists:X-SID-PRA
2107 describe  SARE_HEAD_HDR_XSIDPRA    fingerprint
2108 score     SARE_HEAD_HDR_XSIDPRA    0.684
2109 #hist     SARE_HEAD_HDR_XSIDPRA    Alex Broens, Aug 3 2005
2110 #counts   SARE_HEAD_HDR_XSIDPRA    113s/4h of 689155 corpus (348140s/341015h RM) 09/18/05
2111 #counts   SARE_HEAD_HDR_XSIDPRA    3s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
2112
2113 header    SARE_HEAD_HDR_XSIDRES    exists:X-SID-Result
2114 describe  SARE_HEAD_HDR_XSIDRES    fingerprint
2115 score     SARE_HEAD_HDR_XSIDRES    0.684
2116 #hist     SARE_HEAD_HDR_XSIDRES    Alex Broens, Aug 3 2005
2117 #counts   SARE_HEAD_HDR_XSIDRES    113s/4h of 689155 corpus (348140s/341015h RM) 09/18/05
2118 #counts   SARE_HEAD_HDR_XSIDRES    3s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
2119
2120 header    SARE_HEAD_HDR_XTID       exists:X-TID
2121 describe  SARE_HEAD_HDR_XTID       Message headers used which identify spam
2122 score     SARE_HEAD_HDR_XTID       1.111
2123 #stype    SARE_HEAD_HDR_XTID       spamp
2124 #counts   SARE_HEAD_HDR_XTID       1s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2125 #max      SARE_HEAD_HDR_XTID       19s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
2126 #counts   SARE_HEAD_HDR_XTID       1s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2127 #counts   SARE_HEAD_HDR_XTID       0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2128 #counts   SARE_HEAD_HDR_XTID       0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2129 #counts   SARE_HEAD_HDR_XTID       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2130
2131 header    SARE_HEAD_HDR_XWTID      exists:X-WTID
2132 describe  SARE_HEAD_HDR_XWTID      Message headers used which identify spam
2133 score     SARE_HEAD_HDR_XWTID      0.611
2134 #counts   SARE_HEAD_HDR_XWTID      20s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2135 #max      SARE_HEAD_HDR_XWTID      29s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
2136 #counts   SARE_HEAD_HDR_XWTID      0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
2137 #counts   SARE_HEAD_HDR_XWTID      0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2138 #counts   SARE_HEAD_HDR_XWTID      0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2139 #counts   SARE_HEAD_HDR_XWTID      0s/1h of 6924 corpus (1403s/5521h ft) 07/27/05
2140
2141 header    SARE_HEAD_HDR_XWTVERS    exists:X-WTVersion
2142 describe  SARE_HEAD_HDR_XWTVERS    Message headers used which identify spam
2143 score     SARE_HEAD_HDR_XWTVERS    0.611
2144 #stype    SARE_HEAD_HDR_XWTVERS    spamp
2145 #counts   SARE_HEAD_HDR_XWTVERS    20s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2146 #max      SARE_HEAD_HDR_XWTVERS    29s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
2147 #counts   SARE_HEAD_HDR_XWTVERS    0s/0h of 18196 corpus (15673s/2523h MY) 08/16/04
2148 #counts   SARE_HEAD_HDR_XWTVERS    0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2149 #counts   SARE_HEAD_HDR_XWTVERS    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2150 #counts   SARE_HEAD_HDR_XWTVERS    0s/1h of 6924 corpus (1403s/5521h ft) 07/27/05
2151
2152 header    SARE_HEAD_ORIG_RECIP     exists:Original-Recipient
2153 describe  SARE_HEAD_ORIG_RECIP     Message header used which suggests spam 
2154 score     SARE_HEAD_ORIG_RECIP     0.669
2155 #hist     SARE_HEAD_ORIG_RECIP     Bob Menschel, Feb 26 2005
2156 #ham      SARE_HEAD_ORIG_RECIP     delivery delayed messages from Postmaster@justact.org
2157 #counts   SARE_HEAD_ORIG_RECIP     351s/21h of 689155 corpus (348140s/341015h RM) 09/18/05
2158 #max      SARE_HEAD_ORIG_RECIP     388s/0h of 238550 corpus (112525s/126025h RM) 02/28/05
2159 #counts   SARE_HEAD_ORIG_RECIP     64s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2160 #counts   SARE_HEAD_ORIG_RECIP     10s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2161 #max      SARE_HEAD_ORIG_RECIP     17s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2162 #counts   SARE_HEAD_ORIG_RECIP     19s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2163 #max      SARE_HEAD_ORIG_RECIP     64s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2164 #counts   SARE_HEAD_ORIG_RECIP     6s/0h of 6924 corpus (1403s/5521h ft) 07/27/05
2165
2166 #####################################################################################
2167 #         SARE Content-Type and Boundary rules
2168 ########  ######################   ##################################################
2169
2170 header    SARE_BOUNDARY_05         Content-Type =~ /boundary="-{8}[a-z]{20}"/
2171 describe  SARE_BOUNDARY_05         Content type boundary used in spam 
2172 score     SARE_BOUNDARY_05         1.666  
2173 #stype    SARE_BOUNDARY_05         vbggg
2174 #hist     SARE_BOUNDARY_05         Moved from file 0 to 1 May 2005
2175 #counts   SARE_BOUNDARY_05         5s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2176 #max      SARE_BOUNDARY_05         451s/0h of 66979 corpus (41757s/25222h RM) 09/04/04
2177 #counts   SARE_BOUNDARY_05         0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2178 #counts   SARE_BOUNDARY_05         5s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2179 #max      SARE_BOUNDARY_05         6s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2180 #counts   SARE_BOUNDARY_05         0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2181 #max      SARE_BOUNDARY_05         1s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2182 #counts   SARE_BOUNDARY_05         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2183
2184 header    SARE_BOUNDARY_06         Content-Type =~ /boundary="Boundary_\w{5}_\w{4}_\w{23}"/i
2185 describe  SARE_BOUNDARY_06         Content type boundary used in spam 
2186 score     SARE_BOUNDARY_06         1.666
2187 #stype    SARE_BOUNDARY_06         vbggg
2188 #hist     SARE_BOUNDARY_06         Created by Bob Menschel May 4 2004
2189 #hist     SARE_BOUNDARY_06         Moved from file 0 to 1 May 2005
2190 #counts   SARE_BOUNDARY_06         84s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2191 #counts   SARE_BOUNDARY_06         0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2192 #counts   SARE_BOUNDARY_06         0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2193 #counts   SARE_BOUNDARY_06         0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2194 #counts   SARE_BOUNDARY_06         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2195
2196 header    SARE_BOUNDARY_08         Content-Type =~ /boundary="[\.\_]*(?:[A-Z\d]+[\.\_]+){4,20}[A-Z\d]*\"/s
2197 describe  SARE_BOUNDARY_08         Improbable MIME boundary format
2198 score     SARE_BOUNDARY_08         1.666
2199 #hist     SARE_BOUNDARY_08         LW_BOUNDARY1
2200 #ham      SARE_BOUNDARY_08         ServiceMagic <customerservice@servicemagic.com>, 2001
2201 #ham      SARE_BOUNDARY_08         verizon wireless picture phone transmission
2202 #counts   SARE_BOUNDARY_08         5929s/6h of 689155 corpus (348140s/341015h RM) 09/18/05
2203 #counts   SARE_BOUNDARY_08         15s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2204 #max      SARE_BOUNDARY_08         228s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
2205 #counts   SARE_BOUNDARY_08         0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2206 #max      SARE_BOUNDARY_08         1s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2207 #counts   SARE_BOUNDARY_08         6s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2208 #max      SARE_BOUNDARY_08         18s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2209 #counts   SARE_BOUNDARY_08         0s/2h of 7500 corpus (1767s/5733h ft) 09/18/05
2210
2211 header    SARE_BOUNDARY_D10        Content-Type =~ /boundary="\d{10}"/
2212 describe  SARE_BOUNDARY_D10        Content type boundary used in spam or virus
2213 score     SARE_BOUNDARY_D10        1.400
2214 #ham      SARE_BOUNDARY_D10        verified (1) 
2215 #hist     SARE_BOUNDARY_D10        Created by Bob Menschel May 31 2004
2216 #counts   SARE_BOUNDARY_D10        134s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2217 #counts   SARE_BOUNDARY_D10        3s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2218 #counts   SARE_BOUNDARY_D10        0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2219 #counts   SARE_BOUNDARY_D10        5s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2220 #counts   SARE_BOUNDARY_D10        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2221
2222 header    SARE_BOUNDARY_LC         Content-Type =~ /boundary="(?!ffff)[a-z]+"/
2223 describe  SARE_BOUNDARY_LC         Content type boundary used in spam 
2224 score     SARE_BOUNDARY_LC         1.666
2225 #ham      SARE_BOUNDARY_LC         questionable newsletters
2226 #hist     SARE_BOUNDARY_LC         Created by Bob Menschel May 31 2004
2227 #ham      SARE_BOUNDARY_LC         "ffff": Game Rival <newsletter@gamerival.com>, ThePerfectGreeting <updates@perfectgreeting.com>
2228 #counts   SARE_BOUNDARY_LC         899s/4h of 689155 corpus (348140s/341015h RM) 09/18/05
2229 #counts   SARE_BOUNDARY_LC         83s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2230 #counts   SARE_BOUNDARY_LC         0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2231 #counts   SARE_BOUNDARY_LC         30s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2232 #max      SARE_BOUNDARY_LC         125s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2233 #counts   SARE_BOUNDARY_LC         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2234
2235 header    SARE_BOUNDARY_NP2        Content-Type =~ /boundary=".*_NextPart_.*_NextPart_/
2236 describe  SARE_BOUNDARY_NP2        Content type boundary used in spam and viruses
2237 score     SARE_BOUNDARY_NP2        4.000
2238 #stype    SARE_BOUNDARY_NP2        vbg
2239 #hist     SARE_BOUNDARY_NP2        Created by Bob Menschel May 31 2004
2240 #hist     SARE_BOUNDARY_NP2        Bugzilla entry 3861, Oct 03 2004
2241 #counts   SARE_BOUNDARY_NP2        4s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2242 #max      SARE_BOUNDARY_NP2        1118s/0h of 68491 corpus (41115s/27376h RM) 09/18/04
2243 #counts   SARE_BOUNDARY_NP2        7s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2244 #max      SARE_BOUNDARY_NP2        37s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2245 #counts   SARE_BOUNDARY_NP2        0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2246 #counts   SARE_BOUNDARY_NP2        0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2247 #counts   SARE_BOUNDARY_NP2        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2248
2249 #####################################################################################
2250 #         SARE From Rules 
2251 ########  ######################   ##################################################
2252
2253 header    SARE_FROM_AST            From =~ /<\*\@.{1,50}\..{1,3}/
2254 describe  SARE_FROM_AST            Invalid character in email address
2255 score     SARE_FROM_AST            0.666
2256 #hist     SARE_FROM_AST            Originally submitted by Fred Tarasevicius
2257 #counts   SARE_FROM_AST            1s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2258 #max      SARE_FROM_AST            20s/0h of 89541 corpus (67467s/22074h RM) 05/28/04
2259 #counts   SARE_FROM_AST            0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2260 #counts   SARE_FROM_AST            0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2261 #counts   SARE_FROM_AST            0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2262 #counts   SARE_FROM_AST            0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2263
2264 header    SARE_FROM_CAPS_MSN       From =~ /"[^"]+" <[A-Z]+\@msn.com>/   # no /i 
2265 describe  SARE_FROM_CAPS_MSN       Ratware all-caps MSN from address
2266 score     SARE_FROM_CAPS_MSN       0.759
2267 #ham      SARE_FRMO_CAPS_MSN       verified (3)
2268 #hist     SARE_FROM_CAPS_MSN       Created by Bob Menschel May 15 2004
2269 #counts   SARE_FROM_CAPS_MSN       173s/6h of 689155 corpus (348140s/341015h RM) 09/18/05
2270 #max      SARE_FROM_CAPS_MSN       421s/0h of 85084 corpus (62489s/22595h RM) 06/08/04
2271 #counts   SARE_FROM_CAPS_MSN       48s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2272 #max      SARE_FROM_CAPS_MSN       102s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
2273 #counts   SARE_FROM_CAPS_MSN       6s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2274 #max      SARE_FROM_CAPS_MSN       59s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2275 #counts   SARE_FROM_CAPS_MSN       29s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
2276 #max      SARE_FROM_CAPS_MSN       51s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2277 #counts   SARE_FROM_CAPS_MSN       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2278         
2279 header    SARE_FROM_DRUGS2         From =~ /\bsoma\b/i
2280 describe  SARE_FROM_DRUGS2         From a drug
2281 score     SARE_FROM_DRUGS2         0.754
2282 #ham      SARE_FRMO_DRUGS2         verified (3) 
2283 #hist     SARE_FROM_DRUGS2         Bob Menschel June 25 2005; ham email from userid = soma
2284 #counts   SARE_FROM_DRUGS2         79s/3h of 689155 corpus (348140s/341015h RM) 09/18/05
2285 #counts   SARE_FROM_DRUGS2         2s/0h of 6924 corpus (1403s/5521h ft) 07/27/05
2286 #counts   SARE_FROM_DRUGS2         62s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2287 #counts   SARE_FROM_DRUGS2         0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
2288
2289 header    SARE_FROM_DVDCOPY        From =~ m'(?:DVD.*cop[iy]|\bdvd\b)'i
2290 describe  SARE_FROM_DVDCOPY        From DVD abuse address
2291 score     SARE_FROM_DVDCOPY        0.630
2292 #ham      SARE_FROM_DVDCOPY        Columbia House DVD Club <columbiahouse@mail.columbiahouse.com>
2293 #hist     SARE_FROM_DVDCOPY        Created by Bob Menschel Sep 04 2004
2294 #counts   SARE_FROM_DVDCOPY        243s/28h of 689155 corpus (348140s/341015h RM) 09/18/05
2295 #counts   SARE_FROM_DVDCOPY        24s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2296 #max      SARE_FROM_DVDCOPY        31s/0h of 44754 corpus (16523s/28231h JH-SA3.0rc1) 09/06/04
2297 #counts   SARE_FROM_DVDCOPY        98s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2298 #counts   SARE_FROM_DVDCOPY        24s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2299 #counts   SARE_FROM_DVDCOPY        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2300
2301 header    FROM_BLANK_NAME          From =~ /(?:\s|^)"" <\S+>/i  # SA 3.1.0
2302 header    __SARE_FROM_NONAME       From =~ /"" ?</
2303 meta      SARE_FROM_NONAME         __SARE_FROM_NONAME && !FROM_BLANK_NAME
2304 score     SARE_FROM_NONAME         0.714
2305 #hist     SARE_FROM_NONAME         Created by Fred Tarasevicius 
2306 #overlap  SARE_FROM_NONAME         SARE rule catches spam missed by SA rule. Use meta to avoid duplication
2307 #counts   SARE_FROM_NONAME         371s/12h of 689155 corpus (348140s/341015h RM) 09/18/05
2308 #counts   SARE_FROM_NONAME         0s/0h of 10629 corpus (5847s/4782h CT) 09/18/05
2309 #counts   SARE_FROM_NONAME         0s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
2310
2311 header    SARE_FROM_SPAM_DOMN0     From =~ /\b(?:(?:peo\d|postalbureau|startremodeling)\.com)/i
2312 describe  SARE_FROM_SPAM_DOMN0     From address suggests this is spam
2313 score     SARE_FROM_SPAM_DOMN0     0.555
2314 #ham      SARE_FROM_SPAM_DOMN0     confirmed: 1 yahoo.net, perhaps a user's error
2315 #hist     SARE_FROM_SPAM_DOMN0     RM_fa_PeoCom, RM_fa_PostalBur
2316 #hist     SARE_FROM_SPAM_DOMN0     Moved from file 0 to 1 May 2005
2317 #counts   SARE_FROM_SPAM_DOMN0     1s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2318 #max      SARE_FROM_SPAM_DOMN0     36s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
2319 #counts   SARE_FROM_SPAM_DOMN0     0s/0h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
2320 #max      SARE_FROM_SPAM_DOMN0     27s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
2321 #counts   SARE_FROM_SPAM_DOMN0     0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2322 #max      SARE_FROM_SPAM_DOMN0     5s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2323 #counts   SARE_FROM_SPAM_DOMN0     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2324 #counts   SARE_FROM_SPAM_DOMN0     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2325
2326 header    SARE_FROM_SPAM_DOMN0Y    From =~ /\byahoo\.net/i
2327 describe  SARE_FROM_SPAM_DOMN0Y    From address suggests this is spam
2328 score     SARE_FROM_SPAM_DOMN0Y    0.555
2329 #ham      SARE_FROM_SPAM_DOMN0Y    confirmed: 1 yahoo.net, perhaps a user's error
2330 #counts   SARE_FROM_SPAM_DOMN0Y    1s/1h of 689155 corpus (348140s/341015h RM) 09/18/05
2331 #max      SARE_FROM_SPAM_DOMN0Y    36s/0h of 114271 corpus (81068s/33203h RM) 01/15/05
2332
2333 header    __SARE_FROM_SPAM_MONY1   From =~ /money.*\@/i
2334 header    __SARE_FROM_SPAM_MONY2   From =~ /money\S*\@/i
2335 meta      SARE_FROM_SPAM_MONEY     __SARE_FROM_SPAM_MONY2
2336 describe  SARE_FROM_SPAM_MONEY     From address suggests this is spam
2337 score     SARE_FROM_SPAM_MONEY     0.866
2338 #ham      SARE_FROM_SPAM_MONEY     confirmed (1) 
2339 #addsto   SARE_FROM_SPAM_MONEY     SARE_FROM_SPAM_MONEY2  
2340 #hist     SARE_FROM_SPAM_MONEY     RM_fw_Money. Meta created Aug 20 2004 to improve scoring.
2341 #counts   SARE_FROM_SPAM_MONEY     249s/5h of 689155 corpus (348140s/341015h RM) 09/18/05
2342 #counts   SARE_FROM_SPAM_MONEY     4s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2343 #counts   SARE_FROM_SPAM_MONEY     31s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2344 #counts   SARE_FROM_SPAM_MONEY     33s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2345 #counts   SARE_FROM_SPAM_MONEY     18s/0h of 6924 corpus (1403s/5521h ft) 07/27/05
2346
2347 header    __SARE_FROM_SPAM_MONY1   From =~ /money.*\@/i
2348 header    __SARE_FROM_SPAM_MONY2   From =~ /money\S*\@/i
2349 meta      SARE_FROM_SPAM_MONEY2    __SARE_FROM_SPAM_MONY1 && !__SARE_FROM_SPAM_MONY2
2350 describe  SARE_FROM_SPAM_MONEY2    From address suggests this is spam
2351 score     SARE_FROM_SPAM_MONEY2    0.741
2352 #ham      SARE_FROM_SPAM_MONEY2    Valid end-users with "money" in their display name
2353 #counts   SARE_FROM_SPAM_MONEY2    290s/7h of 689155 corpus (348140s/341015h RM) 09/18/05
2354 #counts   SARE_FROM_SPAM_MONEY2    1s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2355 #counts   SARE_FROM_SPAM_MONEY2    62s/3h of 47809 corpus (43224s/4585h MY) 07/27/05
2356 #counts   SARE_FROM_SPAM_MONEY2    12s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2357 #counts   SARE_FROM_SPAM_MONEY2    2s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
2358
2359 header    SARE_FROM_SPAM_NAME0     From =~ /(?:Direct Marketing|FreeOffers|FunBenefits|salestonight|WESTEC SALES|\bWSEAS\b)/i
2360 describe  SARE_FROM_SPAM_NAME0     From address suggests this is spam
2361 score     SARE_FROM_SPAM_NAME0     3.333
2362 #stype    SARE_FROM_SPAM_NAME0     spamg
2363 #hist     SARE_FROM_SPAM_NAME0     COMBINED.FROM and other sources
2364 #counts   SARE_FROM_SPAM_NAME0     0s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2365 #max      SARE_FROM_SPAM_NAME0     369s/0h of 85084 corpus (62489s/22595h RM) 06/08/04
2366 #counts   SARE_FROM_SPAM_NAME0     0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2367 #counts   SARE_FROM_SPAM_NAME0     0s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2368 #counts   SARE_FROM_SPAM_NAME0     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2369 #counts   SARE_FROM_SPAM_NAME0     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2370
2371 header    SARE_FROM_SPAM_PL1       From =~ /\@tpnet\.pl\b/
2372 describe  SARE_FROM_SPAM_PL1       A lot of spam comes from here
2373 score     SARE_FROM_SPAM_PL1       0.500
2374 #stype    SARE_FRMO_SPAM_PL1       max:0.5 # possible valid ISP in Poland
2375 #hist     SARE_FROM_SPAM_PL1       Loren Wilton, Feb 21 2005
2376 #counts   SARE_FROM_SPAM_PL1       1s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2377 #max      SARE_FROM_SPAM_PL1       26s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
2378 #counts   SARE_FROM_SPAM_PL1       0s/0h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
2379 #counts   SARE_FROM_SPAM_PL1       6s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2380 #counts   SARE_FROM_SPAM_PL1       0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2381 #max      SARE_FROM_SPAM_PL1       1s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2382 #counts   SARE_FROM_SPAM_PL1       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2383
2384 header    SARE_FROM_SPAM_WORD2     From =~ /\b(?:^high.?speed|interacial)\b/i
2385 describe  SARE_FROM_SPAM_WORD2     From address suggests this is spam
2386 score     SARE_FROM_SPAM_WORD2     0.555
2387 #stype    SARE_FRM_SPAM_WORD2      spamp
2388 #hist     SARE_FROM_SPAM_WORD2     COMBINED.FROM and other sources
2389 #counts   SARE_FROM_SPAM_WORD2     9s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2390 #counts   SARE_FROM_SPAM_WORD2     0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2391 #counts   SARE_FROM_SPAM_WORD2     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2392 #counts   SARE_FROM_SPAM_WORD2     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2393
2394 #####################################################################################
2395 #         SARE From Rules -- Emails coming from free webmail accounts
2396 #         Since spam from these can vary depending upon country of origin, 
2397 #         country of destination, policies, and enforcement of policies, 
2398 #         most of these are kept as separate rules rather than combined. 
2399 ########  ######################   ##################################################
2400
2401 header    SARE_FREE_WEBM_BIGMAIL   From =~ /\bbigmailbox\.com/i
2402 describe  SARE_FREE_WEBM_BIGMAIL   Sender used free email account - may be spammer
2403 score     SARE_FREE_WEBM_BIGMAIL   0.650
2404 #counts   SARE_FREE_WEBM_BIGMAIL   1s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2405 #max      SARE_FREE_WEBM_BIGMAIL   13s/0h of 125163 corpus (104972s/20191h) 03/28/04
2406 #counts   SARE_FREE_WEBM_BIGMAIL   0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2407 #counts   SARE_FREE_WEBM_BIGMAIL   4s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2408 #counts   SARE_FREE_WEBM_BIGMAIL   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2409 #counts   SARE_FREE_WEBM_BIGMAIL   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2410
2411 header    SARE_FREE_WEBM_FrVoila   From =~ /\bvoila\.fr/i
2412 describe  SARE_FREE_WEBM_FrVoila   Sender used free email account - may be spammer
2413 score     SARE_FREE_WEBM_FrVoila   0.644
2414 #ham      SARE_FREE_WEBM_FrVoila   confirmed: 1
2415 #counts   SARE_FREE_WEBM_FrVoila   30s/1h of 689155 corpus (348140s/341015h RM) 09/18/05
2416 #max      SARE_FREE_WEBM_FrVoila   40s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
2417 #counts   SARE_FREE_WEBM_FrVoila   2s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2418 #counts   SARE_FREE_WEBM_FrVoila   0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2419 #max      SARE_FREE_WEBM_FrVoila   3s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2420 #counts   SARE_FREE_WEBM_FrVoila   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2421 #counts   SARE_FREE_WEBM_FrVoila   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2422
2423 header    SARE_FREE_WEBM_Jpop      From =~ /\bjpopmail\.com/i 
2424 describe  SARE_FREE_WEBM_Jpop      Sender used free email account - may be spammer 
2425 score     SARE_FREE_WEBM_Jpop      0.944
2426 #counts   SARE_FREE_WEBM_Jpop      1s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2427 #max      SARE_FREE_WEBM_Jpop      66s/0h of 125163 corpus (104972s/20191h) 03/28/04
2428 #counts   SARE_FREE_WEBM_Jpop      1s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2429 #counts   SARE_FREE_WEBM_Jpop      2s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2430 #max      SARE_FREE_WEBM_Jpop      2s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2431 #counts   SARE_FREE_WEBM_Jpop      0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2432 #max      SARE_FREE_WEBM_Jpop      1s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2433 #counts   SARE_FREE_WEBM_Jpop      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2434
2435 header    SARE_FREE_WEBM_MailD     From =~ /mail\d{1,3}\.com/i
2436 describe  SARE_FREE_WEBM_MailD     Sender used free email account - may be spammer
2437 score     SARE_FREE_WEBM_MailD     1.666
2438 #ham      SARE_FREE_WEBM_MailD     questionable
2439 #counts   SARE_FREE_WEBM_MailD     2051s/4h of 689155 corpus (348140s/341015h RM) 09/18/05
2440 #counts   SARE_FREE_WEBM_MailD     21s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2441 #max      SARE_FREE_WEBM_MailD     27s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2442 #counts   SARE_FREE_WEBM_MailD     75s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
2443 #counts   SARE_FREE_WEBM_MailD     5s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2444 #counts   SARE_FREE_WEBM_MailD     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2445
2446 header    SARE_FREE_WEBM_Mailexc   From =~ /\bmailexcite\.com/i
2447 describe  SARE_FREE_WEBM_Mailexc   Sender used free email account - may be spammer 
2448 score     SARE_FREE_WEBM_Mailexc   0.215
2449 #ham      SARE_FREE_WEMB_Mailexc   verified (6)
2450 #counts   SARE_FREE_WEBM_Mailexc   21s/7h of 689155 corpus (348140s/341015h RM) 09/18/05
2451 #max      SARE_FREE_WEBM_Mailexc   44s/0h of 125163 corpus (104972s/20191h) 03/28/04
2452 #counts   SARE_FREE_WEBM_Mailexc   5s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2453 #counts   SARE_FREE_WEBM_Mailexc   3s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
2454 #max      SARE_FREE_WEBM_Mailexc   7s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2455 #counts   SARE_FREE_WEBM_Mailexc   2s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2456 #counts   SARE_FREE_WEBM_Mailexc   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2457
2458 header    SARE_FREE_WEBM_NETCITY   From =~ /\@netcity\w+\.com/i
2459 describe  SARE_FREE_WEBM_NETCITY   Maybe spammer with free email
2460 score     SARE_FREE_WEBM_NETCITY   1.111
2461 #stype    SARE_FREE_WEBM_NETCITY   spamp
2462 #hist     SARE_FREE_WEBM_NETCITY   Created by Bob Menschel Aug 20 2004
2463 #counts   SARE_FREE_WEBM_NETCITY   4s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2464 #max      SARE_FREE_WEBM_NETCITY   12s/0h of 115509 corpus (81073s/34436h RM) 01/16/05
2465 #counts   SARE_FREE_WEBM_NETCITY   4s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2466 #counts   SARE_FREE_WEBM_NETCITY   2s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2467 #counts   SARE_FREE_WEBM_NETCITY   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2468 #counts   SARE_FREE_WEBM_NETCITY   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2469
2470 header    SARE_FREE_WEBM_NetFs     From =~ /\bfsmail\.net/i
2471 describe  SARE_FREE_WEBM_NetFs     Sender used free email account - may be spammer
2472 score     SARE_FREE_WEBM_NetFs     0.685
2473 #ham      SARE_FREE_WEBM_NetFs     confirmed (1)
2474 #counts   SARE_FREE_WEBM_NetFs     70s/2h of 689155 corpus (348140s/341015h RM) 09/18/05
2475 #max      SARE_FREE_WEBM_NetFs     129s/0h of 125163 corpus (104972s/20191h) 03/28/04
2476 #counts   SARE_FREE_WEBM_NetFs     0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2477 #counts   SARE_FREE_WEBM_NetFs     0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2478 #max      SARE_FREE_WEBM_NetFs     8s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2479 #counts   SARE_FREE_WEBM_NetFs     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2480 #counts   SARE_FREE_WEBM_NetFs     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2481
2482 header    SARE_FREE_WEBM_NetSafe   From =~ /\bsafe-mail\.net/i
2483 describe  SARE_FREE_WEBM_NetSafe   Sender used free email account - may be spammer
2484 score     SARE_FREE_WEBM_NetSafe   0.714
2485 #counts   SARE_FREE_WEBM_NetSafe   27s/1h of 689155 corpus (348140s/341015h RM) 09/18/05
2486 #max      SARE_FREE_WEBM_NetSafe   28s/1h of 283497 corpus (129933s/153564h RM) 03/08/05
2487 #counts   SARE_FREE_WEBM_NetSafe   2s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2488 #max      SARE_FREE_WEBM_NetSafe   9s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2489 #counts   SARE_FREE_WEBM_NetSafe   19s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
2490 #counts   SARE_FREE_WEBM_NetSafe   3s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2491 #counts   SARE_FREE_WEBM_NetSafe   6s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
2492
2493 header    SARE_FREE_WEBM_Netster   From =~ /\bnetster\.com/i
2494 describe  SARE_FREE_WEBM_Netster   Sender used free email account - may be spammer
2495 score     SARE_FREE_WEBM_Netster   0.889
2496 #ham      SARE_FREE_WEBM_Netster   confirmed (1)
2497 #counts   SARE_FREE_WEBM_Netster   6s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2498 #max      SARE_FREE_WEBM_Netster   43s/0h of 125163 corpus (104972s/20191h) 03/28/04
2499 #counts   SARE_FREE_WEBM_Netster   0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2500 #max      SARE_FREE_WEBM_Netster   2s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2501 #counts   SARE_FREE_WEBM_Netster   3s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2502 #max      SARE_FREE_WEBM_Netster   12s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2503 #counts   SARE_FREE_WEBM_Netster   0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2504 #max      SARE_FREE_WEBM_Netster   3s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2505 #counts   SARE_FREE_WEBM_Netster   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2506
2507 header    SARE_FREE_WEBM_PlTenbi   From =~ /\btenbit\.pl/i
2508 describe  SARE_FREE_WEBM_PlTenbi   Sender used free email account - may be spammer 
2509 score     SARE_FREE_WEBM_PlTenbi   1.056 
2510 #counts   SARE_FREE_WEBM_PlTenbi   2s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2511 #max      SARE_FREE_WEBM_PlTenbi   83s/0h of 115937 corpus (94614s/21323h) 04/29/04
2512 #counts   SARE_FREE_WEBM_PlTenbi   4s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2513 #counts   SARE_FREE_WEBM_PlTenbi   0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2514 #max      SARE_FREE_WEBM_PlTenbi   2s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2515 #counts   SARE_FREE_WEBM_PlTenbi   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2516 #max      SARE_FREE_WEBM_PlTenbi   1s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2517 #counts   SARE_FREE_WEBM_PlTenbi   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2518
2519 header    SARE_FREE_WEBM_ZCom05    From =~ /\b(?:redwhitearmy|emailaccount)\.com/i
2520 describe  SARE_FREE_WEBM_ZCom05    Sender used free email account - may be spammer
2521 score     SARE_FREE_WEBM_ZCom05    0.981
2522 #ham      SARE_FREE_WEBM_ZCom05    confirmed (1)
2523 #counts   SARE_FREE_WEBM_ZCom05    183s/2h of 689155 corpus (348140s/341015h RM) 09/18/05
2524 #counts   SARE_FREE_WEBM_ZCom05    7s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2525 #max      SARE_FREE_WEBM_ZCom05    9s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
2526 #counts   SARE_FREE_WEBM_ZCom05    26s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
2527 #max      SARE_FREE_WEBM_ZCom05    54s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2528 #counts   SARE_FREE_WEBM_ZCom05    14s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2529 #counts   SARE_FREE_WEBM_ZCom05    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2530
2531 header    SARE_FREE_WEBM_Whoever   From =~ /\bWhoever\.com/i
2532 describe  SARE_FREE_WEBM_Whoever   Sender used free email account - may be spammer 
2533 score     SARE_FREE_WEBM_Whoever   0.700
2534 #counts   SARE_FREE_WEBM_Whoever   2s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2535 #max      SARE_FREE_WEBM_Whoever   18s/0h of 85901 corpus (63701s/22200h RM) 06/05/04
2536 #counts   SARE_FREE_WEBM_Whoever   2s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2537 #max      SARE_FREE_WEBM_Whoever   5s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2538 #counts   SARE_FREE_WEBM_Whoever   0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2539 #max      SARE_FREE_WEBM_Whoever   1s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2540 #counts   SARE_FREE_WEBM_Whoever   0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2541 #counts   SARE_FREE_WEBM_Whoever   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2542
2543 header    SARE_FREE_WEBM_WOWMAIL   From =~ /\@wowmail\.com/i
2544 describe  SARE_FREE_WEBM_WOWMAIL   Sender used free email account - may be spammer 
2545 score     SARE_FREE_WEBM_WOWMAIL   0.767
2546 #hist     SARE_FREE_WEBM_WOWMAIL   Created by Bob Menschel June 16 2004
2547 #counts   SARE_FREE_WEBM_WOWMAIL   0s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2548 #max      SARE_FREE_WEBM_WOWMAIL   18s/0h of 92181 corpus (67808s/24373h RM) 07/18/04
2549 #counts   SARE_FREE_WEBM_WOWMAIL   2s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2550 #max      SARE_FREE_WEBM_WOWMAIL   7s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2551 #counts   SARE_FREE_WEBM_WOWMAIL   7s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2552 #counts   SARE_FREE_WEBM_WOWMAIL   1s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2553 #max      SARE_FREE_WEBM_WOWMAIL   6s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2554 #counts   SARE_FREE_WEBM_WOWMAIL   0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2555
2556 header    SARE_FREE_WEBM_ZCom01    From =~ /\b(?:sify|superonline|coolgoose)\.com/i
2557 describe  SARE_FREE_WEBM_ZCom01    Sender used free email account - may be spammer
2558 score     SARE_FREE_WEBM_ZCom01    0.854
2559 #counts   SARE_FREE_WEBM_ZCom01    150s/2h of 689155 corpus (348140s/341015h RM) 09/18/05
2560 #counts   SARE_FREE_WEBM_ZCom01    4s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2561 #counts   SARE_FREE_WEBM_ZCom01    3s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2562 #max      SARE_FREE_WEBM_ZCom01    5s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2563 #counts   SARE_FREE_WEBM_ZCom01    4s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2564 #counts   SARE_FREE_WEBM_ZCom01    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2565
2566 header    SARE_FREE_WEBM_ZCom02    From =~ /\b(?:macmail|emailacc)\.com/i
2567 describe  SARE_FREE_WEBM_ZCom02    Sender used free email account - may be spammer
2568 score     SARE_FREE_WEBM_ZCom02    0.682
2569 #ham      SARE_FREE_WEBM_ZCom02    Confirmed: macmail.com(2) 
2570 #counts   SARE_FREE_WEBM_ZCom02    122s/5h of 689155 corpus (348140s/341015h RM) 09/18/05
2571 #counts   SARE_FREE_WEBM_ZCom02    6s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2572 #max      SARE_FREE_WEBM_ZCom02    10s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
2573 #counts   SARE_FREE_WEBM_ZCom02    5s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2574 #counts   SARE_FREE_WEBM_ZCom02    4s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2575 #counts   SARE_FREE_WEBM_ZCom02    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2576
2577 header    SARE_FREE_WEBM_ZCom03    From =~ /\b(?:pakistanmail|prontomail)\.com/i
2578 describe  SARE_FREE_WEBM_ZCom03    Sender used free email account - may be spammer
2579 score     SARE_FREE_WEBM_ZCom03    0.622
2580 #ham      SARE_FREE_WEBM_ZCom03    valid email bounce messages
2581 #hist     SARE_FREE_WEBM_ZCom03    Removed mail2world.com since it hit ham. 
2582 #counts   SARE_FREE_WEBM_ZCom03    139s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2583 #counts   SARE_FREE_WEBM_ZCom03    13s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2584 #counts   SARE_FREE_WEBM_ZCom03    18s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2585 #counts   SARE_FREE_WEBM_ZCom03    8s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2586 #counts   SARE_FREE_WEBM_ZCom03    1s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
2587
2588 header    SARE_FREE_WEBM_ZCom03B   From =~ /\bmail2world\.com/i
2589 describe  SARE_FREE_WEBM_ZCom03B   Sender used free email account - may be spammer
2590 score     SARE_FREE_WEBM_ZCom03B   0.622
2591 #ham      SARE_FREE_WEBM_ZCom03B   valid email bounce messages
2592 #counts   SARE_FREE_WEBM_ZCom03B   139s/14h of 689155 corpus (348140s/341015h RM) 09/18/05
2593 #counts   SARE_FREE_WEBM_ZCom03B   13s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2594 #counts   SARE_FREE_WEBM_ZCom03B   18s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2595 #counts   SARE_FREE_WEBM_ZCom03B   8s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2596 #counts   SARE_FREE_WEBM_ZCom03B   1s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
2597
2598 header    SARE_FREE_WEBM_ZCom04    From =~ /\b(?:luxmail|olemail|sailormoon)\.com/i
2599 describe  SARE_FREE_WEBM_ZCom04    Sender used free email account - may be spammer
2600 score     SARE_FREE_WEBM_ZCom04    0.711
2601 #counts   SARE_FREE_WEBM_ZCom04    3s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2602 #max      SARE_FREE_WEBM_ZCom04    19s/0h of 97268 corpus (79437s/17831h RM) 01/24/04
2603 #counts   SARE_FREE_WEBM_ZCom04    1s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2604 #counts   SARE_FREE_WEBM_ZCom04    7s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2605 #counts   SARE_FREE_WEBM_ZCom04    0s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2606 #max      SARE_FREE_WEBM_ZCom04    1s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2607 #counts   SARE_FREE_WEBM_ZCom04    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2608
2609 header    SARE_FREE_WEBM_ZCom06    From =~ /\b(?:clickitmail|deskpilot|killergreenmail|lancsmail|lovecat)\.com/i
2610 describe  SARE_FREE_WEBM_ZCom06    Sender used free email account - may be spammer
2611 score     SARE_FREE_WEBM_ZCom06    0.755
2612 #counts   SARE_FREE_WEBM_ZCom06    23s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2613 #counts   SARE_FREE_WEBM_ZCom06    9s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2614 #counts   SARE_FREE_WEBM_ZCom06    2s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
2615 #max      SARE_FREE_WEBM_ZCom06    5s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2616 #counts   SARE_FREE_WEBM_ZCom06    2s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2617 #counts   SARE_FREE_WEBM_ZCom06    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2618
2619 header    SARE_FREE_WEBM_ZCom07    From =~ /\b(?:bolt|amnestymail)\.com/i
2620 describe  SARE_FREE_WEBM_ZCom07    Sender used free email account - may be spammer
2621 score     SARE_FREE_WEBM_ZCom07    0.756  
2622 #counts   SARE_FREE_WEBM_ZCom07    25s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2623 #counts   SARE_FREE_WEBM_ZCom07    5s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2624 #counts   SARE_FREE_WEBM_ZCom07    14s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2625 #counts   SARE_FREE_WEBM_ZCom07    3s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2626 #max      SARE_FREE_WEBM_ZCom07    5s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2627 #counts   SARE_FREE_WEBM_ZCom07    1s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2628
2629 header    SARE_FREE_WEBM_ZZa001    From =~ /\@702mail\.co\.za/i
2630 describe  SARE_FREE_WEBM_ZZa001    Sender used free email account - may be spammer 
2631 score     SARE_FREE_WEBM_ZZa001    0.783
2632 #counts   SARE_FREE_WEBM_ZZa001    21s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2633 #max      SARE_FREE_WEBM_ZZa001    38s/0h of 85901 corpus (63701s/22200h RM) 06/05/04
2634 #counts   SARE_FREE_WEBM_ZZa001    0s/0h of 32586 corpus (9341s/23245h JH) 06/10/04
2635 #counts   SARE_FREE_WEBM_ZZa001    0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2636 #max      SARE_FREE_WEBM_ZZa001    3s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2637 #counts   SARE_FREE_WEBM_ZZa001    0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2638 #counts   SARE_FREE_WEBM_ZZa001    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2639
2640 body      __SARE_FREE_WEBM_SERV1   /Mail sent from WebMail service/i
2641 body      __SARE_FREE_WEBM_SERV2   /spedita dal servizio WebMail/i
2642 body      __SARE_FREE_WEBM_SERV3   /Mail enviado desde el servicio de  WebMail/i
2643 body      __SARE_FREE_WEBM_SERV4   /Mail inviata dal WebMail service/i
2644 body      __SARE_FREE_WEBM_SERV5   /le module WebMail des service/i
2645 body      __SARE_FREE_WEBM_SERV6   /Servizio WebMail offerto/i
2646 meta      SARE_FREE_WEBM_SERV      (__SARE_FREE_WEBM_SERV1 || __SARE_FREE_WEBM_SERV2 || __SARE_FREE_WEBM_SERV3 || __SARE_FREE_WEBM_SERV4 || __SARE_FREE_WEBM_SERV5 || __SARE_FREE_WEBM_SERV6)
2647 describe  SARE_FREE_WEBM_SERV      Sent from Webmail server
2648 score     SARE_FREE_WEBM_SERV      1.374
2649 #ham      SARE_FREE_WEBM_SERV      confirmed (several)
2650 #hist     SARE_FREE_WEBM_SERV      Kevin Peuhkurinen, May 2005
2651 #counts   SARE_FREE_WEBM_SERV      1104s/7h of 689155 corpus (348140s/341015h RM) 09/18/05
2652 #counts   SARE_FREE_WEBM_SERV      3s/0h of 5653 corpus (1019s/4634h ft) 06/04/05
2653 #counts   SARE_FREE_WEBM_SERV      58s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2654 #counts   SARE_FREE_WEBM_SERV      9s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2655 #counts   SARE_FREE_WEBM_SERV      4s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2656
2657 #####################################################################################
2658 #         SARE Message-ID rules
2659 ########  ######################   ##################################################
2660
2661 header    __SARE_RECV_LOCALHOST    Received =~ /LOCALHOST/
2662 header    __SARE_MSGID_D1D1D2D16   MESSAGEID =~ /<\d\.\d\.\d\d\.\d{16}[a-f0-9]{6}@/
2663 meta      SARE_MSGID_D1D1D2D16     !__SARE_RECV_LOCALHOST && __SARE_MSGID_D1D1D2D16
2664 describe  SARE_MSGID_D1D1D2D16     Message-ID has ratware pattern (9.9.99.9999999hex@
2665 score     SARE_MSGID_D1D1D2D16     1.666
2666 #counts   SARE_MSGID_D1D1D2D16     11s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2667 #max      SARE_MSGID_D1D1D2D16     590s/0h of 115439 corpus (94250s/21189h) 04/30/04
2668 #counts   SARE_MSGID_D1D1D2D16     46s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2669 #counts   SARE_MSGID_D1D1D2D16     0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2670 #counts   SARE_MSGID_D1D1D2D16     1s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2671 #max      SARE_MSGID_D1D1D2D16     1s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2672 #counts   SARE_MSGID_D1D1D2D16     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2673
2674 header    SARE_MSGID_D5D7          MESSAGEID =~ /<\d{5}\.\d{7}\@/
2675 describe  SARE_MSGID_D5D7          Message-ID has ratware pattern (99999.9999999@)
2676 score     SARE_MSGID_D5D7          0.622
2677 #counts   SARE_MSGID_D5D7          0s/0h of 274235 corpus (109066s/165169h RM) 05/15/05
2678 #max      SARE_MSGID_D5D7          4s/1h of 114238 corpus (81067s/33171h RM) 01/15/05
2679 #counts   SARE_MSGID_D5D7          11s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2680 #counts   SARE_MSGID_D5D7          1s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2681 #max      SARE_MSGID_D5D7          25s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2682 #counts   SARE_MSGID_D5D7          0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2683 #counts   SARE_MSGID_D5D7          0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2684
2685 header    __SARE_RECV_LOCALHOST    Received =~ /LOCALHOST/
2686 header    __SARE_MSGID_DDDASH      MESSAGEID =~ /<\d\d?[\$-]/
2687 meta      SARE_MSGID_DDDASH        __SARE_MSGID_DDDASH && !__SARE_RECV_LOCALHOST
2688 describe  SARE_MSGID_DDDASH        Message-ID has ratware pattern (9-, 9$, 99-)
2689 score     SARE_MSGID_DDDASH        1.666
2690 #counts   SARE_MSGID_DDDASH        3039s/8h of 689155 corpus (348140s/341015h RM) 09/18/05
2691 #counts   SARE_MSGID_DDDASH        10s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2692 #max      SARE_MSGID_DDDASH        114s/0h of 38374 corpus (14893s/23481h JH-SA3.0rc1) 08/18/04
2693 #counts   SARE_MSGID_DDDASH        1s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2694 #counts   SARE_MSGID_DDDASH        3s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2695 #max      SARE_MSGID_DDDASH        3s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2696 #counts   SARE_MSGID_DDDASH        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2697
2698 header    SARE_MSGID_LONG50        MESSAGEID =~ /[a-z0-9\$]{50}/
2699 describe  SARE_MSGID_LONG50        Exceedingly long message id
2700 score     SARE_MSGID_LONG50        0.726
2701 #ihst     SARE_MSGID_LONG50        Created by Frederic Tarasevicius
2702 #counts   SARE_MSGID_LONG50        448s/11h of 689155 corpus (348140s/341015h RM) 09/18/05
2703 #max      SARE_MSGID_LONG50        575s/0h of 400432 corpus (178148s/222284h RM) 03/31/05
2704 #counts   SARE_MSGID_LONG50        14s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2705 #counts   SARE_MSGID_LONG50        28s/4h of 47809 corpus (43224s/4585h MY) 07/27/05
2706 #max      SARE_MSGID_LONG50        38s/2h of 47283 corpus (43206s/4077h MY) 06/05/05
2707 #counts   SARE_MSGID_LONG50        0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2708 #max      SARE_MSGID_LONG50        2s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2709 #counts   SARE_MSGID_LONG50        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2710
2711 header    SARE_MSGID_QMAIL1        MESSAGEID =~ /^<.*[a-z].*\.qmail\@.*>/
2712 describe  SARE_MSGID_QMAIL1        Contains spoofing message id
2713 score     SARE_MSGID_QMAIL1        3.333
2714 #stype    SARE_MSGID_QMAIL1        spamgg
2715 #hist     SARE_MSGID_QMAIL1        David Hooton, Fri, 11 Jun 2004
2716 #counts   SARE_MSGID_QMAIL1        6s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2717 #max      SARE_MSGID_QMAIL1        31s/0h of 68491 corpus (41115s/27376h RM) 09/18/04
2718 #counts   SARE_MSGID_QMAIL1        0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2719 #max      SARE_MSGID_QMAIL1        12s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2720 #counts   SARE_MSGID_QMAIL1        1s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2721 #max      SARE_MSGID_QMAIL1        9s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
2722 #counts   SARE_MSGID_QMAIL1        0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2723 #counts   SARE_MSGID_QMAIL1        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2724
2725 header    SARE_MSGID_RATWARE2      MESSAGEID =~ /\<\d{10,15}\.\d{18,40}\@[a-z]+\>/          # no /i!
2726 describe  SARE_MSGID_RATWARE2      Message-Id is <digits.digits@letters>
2727 score     SARE_MSGID_RATWARE2      0.683
2728 #hist     SARE_MSGID_RATWARE2      Loren Wilton Sat, 3 Apr 2004 20:29:32 -0800
2729 #matches  SARE_MSGID_RATWARE2      numbers.numbers@letters
2730 #counts   SARE_MSGID_RATWARE2      32s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2731 #max      SARE_MSGID_RATWARE2      1640s/0h of 115925 corpus (94616s/21309h) 05/01/04
2732 #counts   SARE_MSGID_RATWARE2      33s/2h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2733 #max      SARE_MSGID_RATWARE2      66s/2h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
2734 #counts   SARE_MSGID_RATWARE2      9s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
2735 #max      SARE_MSGID_RATWARE2      31s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2736 #counts   SARE_MSGID_RATWARE2      0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2737 #max      SARE_MSGID_RATWARE2      3s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2738 #counts   SARE_MSGID_RATWARE2      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2739
2740 header    SARE_MSGID_SHORT         MESSAGEID =~ /^.{1,6}$/
2741 describe  SARE_MSGID_SHORT         Message ID is too short to be valid. 
2742 score     SARE_MSGID_SHORT         1.283
2743 #hist     SARE_MSGID_SHORT         RM_hm_ShortMsgid6
2744 #counts   SARE_MSGID_SHORT         181s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2745 #max      SARE_MSGID_SHORT         191s/0h of 115925 corpus (94616s/21309h RM) 05/01/04
2746 #counts   SARE_MSGID_SHORT         34s/1h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2747 #max      SARE_MSGID_SHORT         40s/1h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2748 #counts   SARE_MSGID_SHORT         43s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2749 #max      SARE_MSGID_SHORT         68s/0h of 17050 corpus (14617s/2433h MY) 08/08/04
2750 #counts   SARE_MSGID_SHORT         4s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2751 #max      SARE_MSGID_SHORT         9s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2752 #counts   SARE_MSGID_SHORT         0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2753
2754 #####################################################################################
2755 #         SARE Received Header Rules
2756 ########  ######################   ##################################################
2757
2758 header    SARE_HELO_EQ_DSL_3       X-Spam-Relays-Untrusted =~ /helo=dsl-/
2759 score     SARE_HELO_EQ_DSL_3       0.752
2760 #ham      SARE_HELO_EQ_DSL_3       confirmed (several)
2761 #hist     SARE_HELO_EQ_DSL_3       Frederic Tarasevicius, Feb 22 2005
2762 #counts   SARE_HELO_EQ_DSL_3       529s/18h of 689155 corpus (348140s/341015h RM) 09/18/05
2763 #counts   SARE_HELO_EQ_DSL_3       143s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2764 #max      SARE_HELO_EQ_DSL_3       149s/0h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
2765 #counts   SARE_HELO_EQ_DSL_3       35s/1h of 47809 corpus (43224s/4585h MY) 07/27/05
2766 #max      SARE_HELO_EQ_DSL_3       42s/1h of 45478 corpus (41529s/3949h MY) 05/16/05
2767 #counts   SARE_HELO_EQ_DSL_3       34s/1h of 10590 corpus (5819s/4771h CT) 07/26/05
2768 #max      SARE_HELO_EQ_DSL_3       68s/1h of 10853 corpus (6391s/4462h CT) 05/16/05
2769 #counts   SARE_HELO_EQ_DSL_3       3s/0h of 6924 corpus (1403s/5521h ft) 07/27/05
2770
2771 header    SARE_HELO_EQ_PPPOE       X-Spam-Relays-Untrusted =~ /helo=pppoe-\d{2,3}-\d{1,3}-\d{1,3}-\d{1,3}/i
2772 score     SARE_HELO_EQ_PPPOE       0.555
2773 #stype    SARE_HELO_EQ_PPPOE       spamp
2774 #hist     SARE_HELO_EQ_PPPOE       Frederic Tarasevicius, Feb 22 2005
2775 #counts   SARE_HELO_EQ_PPPOE       3s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2776 #counts   SARE_HELO_EQ_PPPOE       0s/0h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
2777 #counts   SARE_HELO_EQ_PPPOE       0s/0h of 27758 corpus (24297s/3461h MY) 02/27/05
2778 #counts   SARE_HELO_EQ_PPPOE       0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2779 #counts   SARE_HELO_EQ_PPPOE       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2780
2781 header    SARE_HELO_YAHOO          Received =~ /helo=yahoo\.com/i
2782 describe  SARE_HELO_YAHOO          Received header has spamsign
2783 score     SARE_HELO_YAHOO          1.666
2784 #ham      SARE_HELO_YAHOO          confirmed (6), generated by X-Mailer: Apple Mail (2.552)
2785 #hist     SARE_HELO_YAHOO          Created by Bob Menschel Oct 26 2004
2786 #counts   SARE_HELO_YAHOO          663s/1h of 689155 corpus (348140s/341015h RM) 09/18/05
2787 #counts   SARE_HELO_YAHOO          0s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2788 #counts   SARE_HELO_YAHOO          0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2789 #counts   SARE_HELO_YAHOO          1s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2790 #counts   SARE_HELO_YAHOO          0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2791
2792 header    SARE_HEAD_8BIT_RECV      Received =~ /[\x80-\xff]{3,}/
2793 describe  SARE_HEAD_8BIT_RECV      High-ascii characters found in strange header
2794 score     SARE_HEAD_8BIT_RECV      1.666
2795 #ham      SARE_HEAD_8BIT_RECV      verified (1) 
2796 #hist     SARE_HEAD_8BIT_RECV      From Bugzilla # 2243
2797 #counts   SARE_HEAD_8BIT_RECV      1029s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2798 #counts   SARE_HEAD_8BIT_RECV      10s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2799 #counts   SARE_HEAD_8BIT_RECV      0s/0h of 26190 corpus (22790s/3400h MY) 02/15/05
2800 #counts   SARE_HEAD_8BIT_RECV      1s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2801 #counts   SARE_HEAD_8BIT_RECV      0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2802
2803 header    SARE_RECV_FEP5           Received =~ /by fep5\./i
2804 describe  SARE_RECV_FEP5           Message contains known spam format
2805 score     SARE_RECV_FEP5           1.666
2806 #ham      SARE_RECV_FEP5           verified (1) 
2807 #counts   SARE_RECV_FEP5           527s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2808 #max      SARE_RECV_FEP5           528s/0h of 280812 corpus (109490s/171322h RM) 05/05/05
2809 #counts   SARE_RECV_FEP5           7s/0h of 54179 corpus (17002s/37177h JH-3.01) 03/01/05
2810 #counts   SARE_RECV_FEP5           208s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2811 #max      SARE_RECV_FEP5           479s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
2812 #counts   SARE_RECV_FEP5           168s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2813 #max      SARE_RECV_FEP5           195s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2814 #counts   SARE_RECV_FEP5           6s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2815
2816 header    SARE_RECV_FREESERVE      Received =~ /\bfreeserve\.com/
2817 describe  SARE_RECV_FREESERVE      spam passed through system used by spammers
2818 score     SARE_RECV_FREESERVE      0.704
2819 #ham      SARE_RECV_FREESERVE      confirmed (1)
2820 #ham      SARE_RECV_FREESERVE      userid@hurrel.freeserve.co.uk, valid email sent to Yahoo groups list by subscriber
2821 #counts   SARE_RECV_FREESERVE      77s/2h of 689155 corpus (348140s/341015h RM) 09/18/05
2822 #counts   SARE_RECV_FREESERVE      1s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2823 #counts   SARE_RECV_FREESERVE      1s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2824 #counts   SARE_RECV_FREESERVE      0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2825 #counts   SARE_RECV_FREESERVE      1s/0h of 7500 corpus (1767s/5733h ft) 09/18/05
2826
2827 header    SARE_RECV_MDNETCOMBR     Received =~ /\bmdnet\.com\.br/
2828 describe  SARE_RECV_MDNETCOMBR     Came through/fromsite used by spammer
2829 score     SARE_RECV_MDNETCOMBR     0.756
2830 #counts   SARE_RECV_MDNETCOMBR     2s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2831 #max      SARE_RECV_MDNETCOMBR     33s/0h of 115509 corpus (81073s/34436h RM) 01/16/05
2832 #counts   SARE_RECV_MDNETCOMBR     3s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2833 #counts   SARE_RECV_MDNETCOMBR     0s/0h of 20489 corpus (17189s/3300h MY) 01/30/05
2834 #counts   SARE_RECV_MDNETCOMBR     0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2835 #counts   SARE_RECV_MDNETCOMBR     0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2836
2837 header    SARE_RECV_PATMEDIA       Received =~ /\bpatmedia\.net/i
2838 describe  SARE_RECV_PATMEDIA       Passed through possible spammer relay or source
2839 score     SARE_RECV_PATMEDIA       0.728
2840 #stype    SARE_RECV_PATMEDIA       spamp
2841 #hist     SARE_RECV_PATMEDIA       Created by Bob Menschel Aug 19 2004
2842 #counts   SARE_RECV_PATMEDIA       47s/1h of 689155 corpus (348140s/341015h RM) 09/18/05
2843 #counts   SARE_RECV_PATMEDIA       6s/0h of 54176 corpus (16997s/37179h JH-3.01) 02/01/05
2844 #counts   SARE_RECV_PATMEDIA       6s/0h of 45478 corpus (41529s/3949h MY) 05/16/05
2845 #counts   SARE_RECV_PATMEDIA       3s/0h of 11052 corpus (6614s/4438h CT) 03/10/05
2846 #counts   SARE_RECV_PATMEDIA       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2847
2848 header    __SARE_RECV_PORTHELOA    Received =~ /helo=\[\w+\]/i
2849 header    __SARE_RECV_PORTHELOB    Received =~ /\(port=\d{4} helo=\[\w+\]\)/i
2850 header    SARE_RECV_PORTHELO_1     Received =~ /from \[\d+\.\d+\.\d+\.\d+\] \(port=\d{4} helo=\[\w+\]\)/i
2851 meta      SARE_RECV_PORTHELO_2     __SARE_RECV_PORTHELOB && !SARE_RECV_PORTHELO_1
2852 meta      SARE_RECV_PORTHELO_3     __SARE_RECV_PORTHELOA && !__SARE_RECV_PORTHELOB && !SARE_RECV_PORTHELO_1
2853 describe  SARE_RECV_PORTHELO_1     Apparent Spamsign in Received header
2854 describe  SARE_RECV_PORTHELO_2     Apparent Spamsign in Received header
2855 describe  SARE_RECV_PORTHELO_3     Apparent Spamsign in Received header
2856 score     SARE_RECV_PORTHELO_1     2.666
2857 score     SARE_RECV_PORTHELO_2     2.000
2858 score     SARE_RECV_PORTHELO_3     1.666
2859 #note     SARE_RECV_PORTHELO_1     As of June 8 2005, all three rules in this family hit identically.
2860 #note     SARE_RECV_PORTHELO_1     We score them based on their "safety". 
2861 #hist     SARE_RECV_PORTHELO_1     Loren Wilton, June 2005
2862 #counts   SARE_RECV_PORTHELO_1     5201s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2863 #counts   SARE_RECV_PORTHELO_1     69s/0h of 55754 corpus (18581s/37173h JH-3.01) 06/10/05
2864 #counts   SARE_RECV_PORTHELO_1     286s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2865 #counts   SARE_RECV_PORTHELO_1     83s/1h of 7500 corpus (1767s/5733h ft) 09/18/05
2866 #counts   SARE_RECV_PORTHELO_1     42s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2867 #counts   SARE_RECV_PORTHELO_3     499s/0h of 689155 corpus (348140s/341015h RM) 09/18/05
2868
2869 header    SARE_RECV_RND_DATE       Received =~ /RND_DATE/i
2870 describe  SARE_RECV_RND_DATE       Spam passed through iswest.net relay
2871 score     SARE_RECV_RND_DATE       1.666  
2872 #stype    SARE_RECV_RND_DATE       spamg
2873 #counts   SARE_RECV_RND_DATE       1s/0h of 327690 corpus (159737s/167953h RM) 07/27/05
2874 #max      SARE_RECV_RND_DATE       9s/0h of 268479 corpus (127479s/141000h RM) 06/17/05
2875 #counts   SARE_RECV_RND_DATE       0s/0h of 54072 corpus (16898s/37174h JH-3.01) 02/18/05
2876 #counts   SARE_RECV_RND_DATE       1s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2877 #counts   SARE_RECV_RND_DATE       0s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2878 #counts   SARE_RECV_RND_DATE       0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2879
2880 header    SARE_RECV_SKANOVA        Received =~ /\bskanova\.com/i
2881 describe  SARE_RECV_SKANOVA        From or passed through spammer/unreliable domain
2882 score     SARE_RECV_SKANOVA        0.741
2883 #ham      SARE_RECV_SKANOVA        verified (several)
2884 #hist     SARE_RECV_SKANOVA        Created by Bob Menschel Apr 03 2004
2885 #counts   SARE_RECV_SKANOVA        197s/6h of 689155 corpus (348140s/341015h RM) 09/18/05
2886 #counts   SARE_RECV_SKANOVA        18s/0h of 47809 corpus (43224s/4585h MY) 07/27/05
2887 #counts   SARE_RECV_SKANOVA        15s/0h of 54840 corpus (17664s/37176h JH-3.01) 03/13/05
2888 #counts   SARE_RECV_SKANOVA        4s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2889 #counts   SARE_RECV_SKANOVA        0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2890
2891 header    SARE_RECV_SPAM_DOMN02    Received =~ /\b(?:dsl\.telesp|speedyterra)\.(?:com|net)\.br/
2892 describe  SARE_RECV_SPAM_DOMN02    Email passed through apparent spammer domain 
2893 score     SARE_RECV_SPAM_DOMN02    1.666
2894 #ham      SARE_RECV_SPAM_DOMN02    Confirmed (5)
2895 #counts   SARE_RECV_SPAM_DOMN02    1953s/8h of 689155 corpus (348140s/341015h RM) 09/18/05
2896 #counts   SARE_RECV_SPAM_DOMN02    138s/0h of 55848 corpus (18671s/37177h JH-3.01) 06/10/05
2897 #max      SARE_RECV_SPAM_DOMN02    187s/0h of 38398 corpus (14914s/23484h JH) 08/14/04 TM2 SA3.0-pre2
2898 #counts   SARE_RECV_SPAM_DOMN02    64s/0h of 47283 corpus (43206s/4077h MY) 06/05/05
2899 #counts   SARE_RECV_SPAM_DOMN02    28s/0h of 10590 corpus (5819s/4771h CT) 07/26/05
2900 #max      SARE_RECV_SPAM_DOMN02    44s/0h of 10853 corpus (6391s/4462h CT) 05/16/05
2901 #counts   SARE_RECV_SPAM_DOMN02    0s/0h of 2500 corpus (531s/1969h ft) 05/17/05
2902
2903 header    SARE_RECV_SPAM_DOMN04    Received =~ /\b(?:megared)\.(?:com|net)\.mx/
2904 describe  SARE_RECV_SPAM_DOMN04    Email passed through apparent spammer domain 
2905 score     SARE_RECV_SPAM_DOMN04    0.709
2906 #ham      SARE_RECV_SPAM_DOMN04    verified (3) 
2907 #counts   SARE_RECV_SPAM_DOMN04    244s/9h of 689155 corpus (348140s/341015h RM) 09/18/05
2908 #counts   SARE_RECV_SPAM_DOMN04   &nb