# Ostatnia aktualizacja 2021-01-03
# https://zabojcaspamu.pl
# https://github.com/zabojcaspamu/spamassassin_rules
# sa to reguly do programu spamassassin
# Reguly maja dodane ZABOJCASPAMU aby bylo latwiej rozpoznac ktore sa z tej strony
#!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
#!!  W czesci regul trzeba zmienic ciag WLASNADOMENA na wlasna domene jaka sie administruje
#!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
# Sumy kontrolne plikow https://zabojcaspamu.pl/md5sum.txt http://zabojcaspamu.pl/sha1sum.txt 
# Opis https://zabojcaspamu.pl/latwiejszy-format-plikow-na-stronie/

#Regula wychwytujaca czerwony kolor
#https://zabojcaspamu.pl/czcionka-czerwona-w-mailu/
rawbody  __ZABOJCASPAMU_RED_COLOR_1 /\W\#(ff|FF)0000\W/
rawbody  __ZABOJCASPAMU_RED_COLOR_2 /[\";: ]red[\"\';]/
rawbody  __ZABOJCASPAMU_RED_COLOR_3 /rgb\((?:2\d\d\|1[5-9]\d)\,\s*0\,\s*0\)/
meta		ZABOJCASPAMU_RED_COLOR __ZABOJCASPAMU_RED_COLOR_1 || __ZABOJCASPAMU_RED_COLOR_2 || __ZABOJCASPAMU_RED_COLOR_3
describe		ZABOJCASPAMU_RED_COLOR 	Wlacza sie czerwony kolor
score		ZABOJCASPAMU_RED_COLOR 	0.5

#regula na zapytanie ofertowe
#https://zabojcaspamu.pl/zapytanie-ofertowe/
header		ZABOJCASPAMU_PYTANIE_OFERT Subject=~/apytanie .fertowe/
describe	ZABOJCASPAMU_PYTANIE_OFERT W temacie 'Zapytanie ofertowe'
score		ZABOJCASPAMU_PYTANIE_OFERT 1

# https://zabojcaspamu.pl/spam-z-polski-z-koncowka-emai-com/
# regula na spam z dziwnymi z nazwiskami na A i B
# Uwaga w 3 linii trzeba zastapic fraze WLASNADOMENA swoja wlasna domena czyli np
header __ZABOJCASPAMU_LOGIN_NAZWISKO From=~ /(abram|Abram|abramczyk|Abramczyk|abramowicz|Abramowicz|adamczak|Adamczak|adamczyk|Adamczyk|adamek|Adamek|adamiak|Adamiak|adamik|Adamik|adamowicz|adamski|Babiarz|Babicz|Babik|Babin|Babinski|Babka|Babula|Baran|Baranek|Baranoski|Baranowski|Baranski|Barczak|Barela|Bargiel)/
header		__ZABOJCASPAMU_DOMENA_MAILCOM 	From=~ /email\.(com|info)/
header		__ZABOJCASPAMU_RP_FOR_THIS_SPAM 	Return-Path=~/-.{2,20}\=WLASNADOMENA@/
meta		ZABOJCASPAMU_EMAILCOM 	__ZABOJCASPAMU_LOGIN_NAZWISKO && __LOCAL_DOMENA_MAILCOM && __LOCAL_RP_FOR_THIS_SPAM
describe	ZABOJCASPAMU_EMAILCOM	Adres z nazwiskiem i domena z koncowka email.com
score		ZABOJCASPAMU_EMAILCOM	0

# wykrzykniki na koncu tematu
# https://zabojcaspamu.pl/wykrzykniki-na-koncu-tematu/
header 		ZABOJCASPAMU_MANY_EXCL 	Subject =~ /\!{3,}$/
describe 	ZABOJCASPAMU_MANY_EXCL 	Subject ending exclamation mark
score 		ZABOJCASPAMU_MANY_EXCL 	1.5
 
#reguly dla Message-ID
#https://zabojcaspamu.pl/reguly-dla-message-id/
header    	ZABOJCASPAMU_MSID_ZABOJCASPAMUHOST Message-ID=~/\@localhost\.localdomain>$/
describe  	ZABOJCASPAMU_MSID_ZABOJCASPAMUHOST Message-ID konczy sie  localhost\.localdomain
score     	ZABOJCASPAMU_MSID_ZABOJCASPAMUHOST 1.5
 
header  	ZABOJCASPAMU_MSID_ZABOJCASPAMU      Message-ID=~/\.local>$/ 
describe 	ZABOJCASPAMU_MSID_ZABOJCASPAMU      Message-ID konczy sie  local
score     	ZABOJCASPAMU_MSID_ZABOJCASPAMU      1
 
header    	ZABOJCASPAMU_MSID_NODOT      Message-ID=~/\@[a-zA-Z0-9-]+>/
describe  	ZABOJCASPAMU_MSID_NODOT      Message-ID po @ brak kropki
score     	ZABOJCASPAMU_MSID_NODOT      0.2
 
header      	__ZABOJCASPAMU_FAKE_MSID0 Message-ID=~/WLASNADOMENA/ 
header      	__ZABOJCASPAMU_FAKE_MSID1 From=~/(MAILER\-DAEMON|mailer\-daemon)\@/
meta		ZABOJCASPAMU_FAKE_MSID    __ZABOJCASPAMU_FAKE_MSID0 && !__ZABOJCASPAMU_FAKE_MSID1  
describe	ZABOJCASPAMU_FAKE_MSID    W message ID moje domena
score		ZABOJCASPAMU_FAKE_MSID    0.4

#spam z naglowkiem X-PHP-Script
#https://zabojcaspamu.pl/naglowek-x-php-script-oznaka-spamu/
header        ZABOJCASPAMU_X_PHP_Script    exists:X-PHP-Script
describe      ZABOJCASPAMU_X_PHP_Script    Zawiera naglowek X-PHP-Script
score         ZABOJCASPAMU_X_PHP_Script    4
 
# Wysylane przez skrypty PHP
# https://zabojcaspamu.pl/maile-wysylane-przez-php/
header      	ZABOJCASPAMU_XMAILER_PHP        X-Mailer=~/^(?:PHP|php)/
describe  	ZABOJCASPAMU_XMAILER_PHP        Send by X-Mailer spam
score        	ZABOJCASPAMU_XMAILER_PHP        0.5
 
#Regula do wywalania spamu z loginen support@
# https://zabojcaspamu.pl/duza-ilosc-spamu-z-loginem-support/
header     ZABOJCASPAMU_X_PHP_Script    exists:X-PHP-Script
describe   ZABOJCASPAMU_X_PHP_Script    Zawiera naglowek X-PHP-Script
score      ZABOJCASPAMU_X_PHP_Script    4

header     ZABOJCASPAMU_X_PHP_Originating  exists:X-PHP-Originating-Script
score      ZABOJCASPAMU_X_PHP_Originating  0.1
describe   ZABOJCASPAMU_X_PHP_Originating  Has X-PHP-Originating-Script header

header      ZABOJCASPAMU_XMAILER_PHP        X-Mailer=~/^(?:PHP|php)/ 
describe    ZABOJCASPAMU_XMAILER_PHP        Send by X-Mailer spam 
score       ZABOJCASPAMU_XMAILER_PHP        0.5

header      __ZABOJCASPAMU_SUPPORT_LOGIN_1  From=~/<support\@/
meta        ZABOJCASPAMU_SUPPORT_LOGIN_1    __ZABOJCASPAMU_SUPPORT_LOGIN_1 && (ZABOJCASPAMU_XMAILER_PHP ||ZABOJCASPAMU_X_PHP_Script || ZABOJCASPAMU_X_PHP_Originating) 
describe    ZABOJCASPAMU_SUPPORT_LOGIN_1    mail z support@ i majacy naglowki X-PHP-Script lub X-PHP-Originating-Script  
score       ZABOJCASPAMU_SUPPORT_LOGIN_1    8

# Regula w temacie PLN zl
# https://zabojcaspamu.pl/morze_pieniedzy/
header      ZABOJCASPAMU_TEMAT_PLN   Subject=~/(PLN|złotych| zł )/
describe    ZABOJCASPAMU_TEMAT_PLN   W temacie jest PLN lub zlotych
score       ZABOJCASPAMU_TEMAT_PLN   0.2
 
# Mamy dla ciebie prace
#
header     __ZABOJCASPAMU_MARILLINCH_1 Subject=~/ID\:/
body       __ZABOJCASPAMU_MARILLINCH_2 /Agencja Rekrutacyjna Maril Linch Production Inc/
meta       ZABOJCASPAMU_MARILLINCH     __ZABOJCASPAMU_MARILLINCH_1 && __ZABOJCASPAMU_MARILLINCH_2
describe   ZABOJCASPAMU_MARILLINCH     Mail z Agencja Rekrutacyjna Mail Linch
score      ZABOJCASPAMU_MARILLINCH     10

#regula z dziwnymi nazwiskami
#https://zabojcaspamu.pl/abraabramabram…ecyficzny-spam/
header         __ZABOJCASPAMU_LOGIN_NAZWISKO1 From=~ /(abram|Abram|abramczyk|Abramczyk|abramowicz|Abramowicz|adamczak|Adamczak|adamczyk|Adamczyk|adamek|Adamek|adamiak|Adamiak|adamik|Adamik|adamowicz|adamski|Babiarz|Babicz|Babik|Babin|Babinski|Babka|Babula|Baran|Baranek|Baranoski|Baranowski|Baranski|Barczak|Barela|Bargiel)/
header         __ZABOJCASPAMU_DOMENA_MAILCOM1 From=~ /(email|news)\.(com|info)/
header         __ZABOJCASPAMU_RP_FOR_THIS_SPAM1 Return-Path=~/-.{2,20}\=WLASNADOMENA@/
meta           ZABOJCASPAMU_NAME_ABRAMBABIARZ  __ZABOJCASPAMU_LOGIN_NAZWISKO1 && __ZABOJCASPAMU_DOMENA_MAILCOM1 && __ZABOJCASPAMU_RP_FOR_THIS_SPAM1
describe       ZABOJCASPAMU_NAME_ABRAMBABIARZ Adres z nazwiskiem abram,Babik i domena z koncowka email.com
score          ZABOJCASPAMU_NAME_ABRAMBABIARZ 3
 
#Ubijamy niebieski.net
#https://zabojcaspamu.pl/niebieski-net-blokujemy-pernametnie/
header   ZABOJCASPAMU_NIEBIESKINET   ALL=~/\.niebieski\.net/
describe ZABOJCASPAMU_NIEBIESKINET   W nagłówkach jest niebieski.net
score    ZABOJCASPAMU_NIEBIESKINET   10
 
#Sprawdzanie X-Mailer
# https://zabojcaspamu.pl/spamerskie-narzedzia-czyli-sprawdzamy-x-mailer/
header      ZABOJCASPAMU_XMAILER_428134    X-Mailer=~/4.2.8-134 \[Aug 22 2012/ 
describe    ZABOJCASPAMU_XMAILER_428134    Send by X-Mailer 4.2.8-134 [Aug
score       ZABOJCASPAMU_XMAILER_428134    4    

header      ZABOJCASPAMU_XMAILER_TIDEPLATFORM    X-Mailer=~/TidePlatform/    
describe    ZABOJCASPAMU_XMAILER_TIDEPLATFORM    Send by TidePlatform  
score       ZABOJCASPAMU_XMAILER_TIDEPLATFORM    4    

header      ZABOJCASPAMU_XMAILER_PROROUSERVICE    X-Mailer=~/Professional Routing Service/  
describe    ZABOJCASPAMU_XMAILER_PROROUSERVICE    Send by Professional Routing Service
score       ZABOJCASPAMU_XMAILER_PROROUSERVICE    4    

header      ZABOJCASPAMU_XMAILER_aspNetEmail    X-Mailer=~/aspNetEmail/    
describe    ZABOJCASPAMU_XMAILER_aspNetEmail    Send by X-Mailer aspNetEmail 
score       ZABOJCASPAMU_XMAILER_aspNetEmail    4    

header      ZABOJCASPAMU_XMAILER_MS    X-Mailer=~/^Microsoft Office Outlook, Build 11.0.5510/
describe    ZABOJCASPAMU_XMAILER_MS    Send by Microsoft Office Outlook,
score       ZABOJCASPAMU_XMAILER_MS    1    

header      ZABOJCASPAMU_XMAILER_iMTA    X-Mailer=~/iMTA/    
describe    ZABOJCASPAMU_XMAILER_iMTA    Send by Xmailer iMTA 
score       ZABOJCASPAMU_XMAILER_iMTA    4    

header      ZABOJCASPAMU_XMAILER_Ajaxel_CMS    X-Mailer =~ /^\s*Ajaxel CMS v\d+\.\d+/
describe    ZABOJCASPAMU_XMAILER_Ajaxel_CMS    Message from Ajaxel CMS (DSPAM_autolearn),
score       ZABOJCASPAMU_XMAILER_Ajaxel_CMS    3.5    

header      ZABOJCASPAMU_XMAILER_SendBlaster    X-Mailer =~ /^\s*SendBlaster\.\d+\.\d+\.\d+$/  
describe    ZABOJCASPAMU_XMAILER_SendBlaster    Email marketing mailing software SendBlaster
score       ZABOJCASPAMU_XMAILER_SendBlaster    3.5    

header      ZABOJCASPAMU_XMAILER_SMART_SEND_2    X-Mailer =~ /^\s*(SmartSend|Smart_Send).\d.\d.\d/  
describe    ZABOJCASPAMU_XMAILER_SMART_SEND_2    Suspicious X-Mailer: SmartSend  
score       ZABOJCASPAMU_XMAILER_SMART_SEND_2    4.0  
  
header      ZABOJCASPAMU_SPAMWARE_XMAILER_iBriteMail    X-Mailer =~ /^\s*(iBriteMail .+)$/ 
describe    ZABOJCASPAMU_SPAMWARE_XMAILER_iBriteMail    SPAMWARE X-Mailer (DSPAM_autolearn)  
score       ZABOJCASPAMU_SPAMWARE_XMAILER_iBriteMail    3.0 
   
header      ZABOJCASPAMU_SPAMWARE_XMAILER_MMailer    X-Mailer =~ /^\s*MMailer v3\.[01]$/ 
describe    ZABOJCASPAMU_SPAMWARE_XMAILER_MMailer    SPAMWARE X-Mailer MMailer (DSPAM_autolearn) 
score       ZABOJCASPAMU_SPAMWARE_XMAILER_MMailer    5.0    

header      ZABOJCASPAMU_SPAMWARE_XMAILER_eMailink    X-Mailer =~ /^\s*eMailink 3$/ 
describe    ZABOJCASPAMU_SPAMWARE_XMAILER_eMailink    SPAMWARE X-Mailer (DSPAM_autolearn)  
score       ZABOJCASPAMU_SPAMWARE_XMAILER_eMailink    3.0    

header      ZABOJCASPAMU_SPAMWARE_XMAILER_gMailer    X-Mailer =~ /^\s*GOOD Mailer v\d+\.\d+$/
describe    ZABOJCASPAMU_SPAMWARE_XMAILER_gMailer    SPAMWARE X-Mailer GOOD Mailer 
score       ZABOJCASPAMU_SPAMWARE_XMAILER_gMailer    3.0    

header      ZABOJCASPAMU_XMAILER_mLogic    X-Mailer =~ /^\s*mLogic$/  
describe    ZABOJCASPAMU_XMAILER_mLogic    Strange X-Mailer mLogic (DSPAM_autolearn) 
score       ZABOJCASPAMU_XMAILER_mLogic    5.0    

header      ZABOJCASPAMU_XMAILER_Default    X-Mailer =~ /^\s*Default$/  
describe    ZABOJCASPAMU_XMAILER_Default    Suspicious X-Mailer Default  
score       ZABOJCASPAMU_XMAILER_Default    4.0    

header      ZABOJCASPAMU_XMAILER_STREAMSEND    X-Mailer =~ /^\s*StreamSend/  
describe    ZABOJCASPAMU_XMAILER_STREAMSEND    Message from Email Marketing Solutions
score       ZABOJCASPAMU_XMAILER_STREAMSEND    0.5   
 
header      ZABOJCASPAMU_XMAILER_Vladium    X-Mailer =~ /Vladium/  
describe    ZABOJCASPAMU_XMAILER_Vladium    Suspicious X-Mailer Vladium  
score       ZABOJCASPAMU_XMAILER_Vladium    4.0    

header      ZABOJCASPAMU_XMAILER_NeoFm    X-Mailer =~ /NeoFm/  
describe    ZABOJCASPAMU_XMAILER_NeoFm    Suspicious X-Mailer NeoFm  
score       ZABOJCASPAMU_XMAILER_NeoFm    4.0    

header      ZABOJCASPAMU_XMAILER_Oracle    X-Mailer =~ /Oracle Communications Messenger/
describe    ZABOJCASPAMU_XMAILER_Oracle    Zawiera X-Mailer Oracle Communications Messenger
score       ZABOJCASPAMU_XMAILER_Oracle    1

header      ZABOJCASPAMU_XMAILER_Centrum_Email    X-Mailer =~ /Centrum Email/
describe    ZABOJCASPAMU_XMAILER_Centrum_Email    Zawiera X-Mailer Centrum Email 
score       ZABOJCASPAMU_XMAILER_Centrum_Email    2

# spam z loginem prezent
# https://zabojcaspamu.pl/spam-z-loginem-prezent/
header   __ZABOJCASPAMU_FROM_PREZENT_1     From=~/\<prezent\@/
meta     ZABOJCASPAMU_FROM_PREZENT         __ZABOJCASPAMU_FROM_PREZENT_1 && ZABOJCASPAMU_XMAILER_iMTA && LOCAL_MSID_LOCALHOST
describe ZABOJCASPAMU_FROM_PREZENT         Spam z prezent@ i ze masz 40PLN
score    ZABOJCASPAMU_FROM_PREZENT         10

# Podkreslenie i boldowanie 
# https://zabojcaspamu.pl/podkreslenie-i-boldowanie-w-tekscie/
rawbody     ZABOJCASPAMU_UNDERLINE     /\<(U|u)\>/
describe    ZABOJCASPAMU_UNDERLINE     Podkreślenie w tekscie
score       ZABOJCASPAMU_UNDERLINE     0.2

rawbody     ZABOJCASPAMU_BOLD     /\<(STRONG|strong)\>/
describe    ZABOJCASPAMU_BOLD     Boldowanie w tekscie
score       ZABOJCASPAMU_BOLD     0.2
 
#Kumple niebieski.net czyli v.tld.pl
# https://zabojcaspamu.pl/kumple-niebieski-net-czyli-v-tld-pl/
header   ZABOJCASPAMU_VTLDPL   Received=~/smtp\.\d+\.v\.tld\.pl/
describe ZABOJCASPAMU_VTLDPL   W Received jest smtp.\d+.tld.pl
score    ZABOJCASPAMU_VTLDPL   4

#Super kredyt i w ogóle za darmo
#https://zabojcaspamu.pl/super-kredyt-i-w-ogole-za-darmo/
header   ZABOJCASPAMU_SUBJECT_KREDYT  Subject=~/(?:(K|k)redyt| po.{1,8}yczka)/
describe ZABOJCASPAMU_SUBJECT_KREDYT  W temacie slowo kredyt lub pozyczka
score    ZABOJCASPAMU_SUBJECT_KREDYT  0.8

#Dalej walczymy z polem X-Mailer
#https://zabojcaspamu.pl/dalej-walczymy-z-polem-x-mailer/
meta 		ZABOJCASPAMU_BULK_SIGNATURE DCC_CHECK || RAZOR2_CHECK || PYZOR_CHECK
describe 	ZABOJCASPAMU_BULK_SIGNATURE Mail ma bulk
score 		ZABOJCASPAMU_BULK_SIGNATURE 0.01

meta      __ZABOJCASPAMU_XMAILER_SPAMER ZABOJCASPAMU_XMAILER_428134|| ZABOJCASPAMU_XMAILER_Ajaxel_CMS|| ZABOJCASPAMU_XMAILER_aspNetEmail|| ZABOJCASPAMU_XMAILER_Default||ZABOJCASPAMU_XMAILER_iMTA|| ZABOJCASPAMU_XMAILER_mLogic|| ZABOJCASPAMU_XMAILER_MS|| ZABOJCASPAMU_XMAILER_NeoFm|| ZABOJCASPAMU_XMAILER_Oracle|| ZABOJCASPAMU_XMAILER_PHP|| ZABOJCASPAMU_XMAILER_PROROUSERVICE|| ZABOJCASPAMU_XMAILER_SendBlaster|| ZABOJCASPAMU_XMAILER_SMART_SEND_2|| ZABOJCASPAMU_XMAILER_STREAMSEND|| ZABOJCASPAMU_XMAILER_TIDEPLATFORM|| ZABOJCASPAMU_XMAILER_Vladium
meta     ZABOJCASPAMU_XMAILER_BULK    __ZABOJCASPAMU_XMAILER_SPAMER && ZABOJCASPAMU_BULK_SIGNATURE
describe ZABOJCASPAMU_XMAILER_BULK    Spamerskie XMAILER i ktorys z DCC lub RAZOR2 lub PYZOR
score    ZABOJCASPAMU_XMAILER_BULK    5

# Kończąc temat X-Mailer
# https://zabojcaspamu.pl/konczac-temat-x-mailer/
meta      __ZABOJCASPAMU_XMAILER_SPAMER ZABOJCASPAMU_XMAILER_428134|| ZABOJCASPAMU_XMAILER_Ajaxel_CMS|| ZABOJCASPAMU_XMAILER_aspNetEmail|| ZABOJCASPAMU_XMAILER_Default||ZABOJCASPAMU_XMAILER_iMTA|| ZABOJCASPAMU_XMAILER_mLogic|| ZABOJCASPAMU_XMAILER_MS|| ZABOJCASPAMU_XMAILER_NeoFm|| ZABOJCASPAMU_XMAILER_Oracle|| ZABOJCASPAMU_XMAILER_PHP|| ZABOJCASPAMU_XMAILER_PROROUSERVICE|| ZABOJCASPAMU_XMAILER_SendBlaster|| ZABOJCASPAMU_XMAILER_SMART_SEND_2|| ZABOJCASPAMU_XMAILER_STREAMSEND|| ZABOJCASPAMU_XMAILER_TIDEPLATFORM|| ZABOJCASPAMU_XMAILER_Vladium
meta     ZABOJCASPAMU_XMAILER_PRECEDENCE __ZABOJCASPAMU_XMAILER_SPAMER && LOCAL_PRECEDENCE_BULK
describe ZABOJCASPAMU_XMAILER_PRECEDENCE Spamerskie XMAILER i dodatkoweo precedence:bulk 
score    ZABOJCASPAMU_XMAILER_PRECEDENCE 10

#Prosimy o pusty mail
#https://zabojcaspamu.pl/prosimy-o-pusty-mail/
body     ZABOJCASPAMU_PUSTY_MAIL         /pust(ego|y) (listu|maila?|e-?maila?)/
describe ZABOJCASPAMU_PUSTY_MAIL         Pusty mail
score    ZABOJCASPAMU_PUSTY_MAIL         0.4
 
#Anomail śle spam
#https://zabojcaspamu.pl/anomail-sle-spam/
header    ZABOJCASPAMU_ANOMAIL        Organization =~ /^AnoMail/
describe  ZABOJCASPAMU_ANOMAIL        Organization AnoMail
score     ZABOJCASPAMU_ANOMAIL        3.5
 
#Reguła 21 stycznia 2013
#https://zabojcaspamu.pl/regula-21-stycznia-2013/
body      ZABOJCASPAMU_21STY2013   /(od dnia | dniem )21 stycznia 2013/
describe  ZABOJCASPAMU_21STY2013   Od 21 stycznie 2013 mozna wysylac zapytania
score     ZABOJCASPAMU_21STY2013   1
 
#Pisze do Pana/Pani
#https://zabojcaspamu.pl/pisze-do-panapani/
body     ZABOJCASPAMU_PANIPANA           /Pan.{0,3}\s*\/\s*Pan.{0,3}/
describe ZABOJCASPAMU_PANIPANA           Zwrot Pan/Pani, Pani/Pana itd
score    ZABOJCASPAMU_PANIPANA           0.3
 
#Znak procentu w temacie
#https://zabojcaspamu.pl/znak-procentu-w-temacie/
header    ZABOJCASPAMU_SUBJECT_PERCENT Subject=~/\%/
describe  ZABOJCASPAMU_SUBJECT_PERCENT W temacie znak procentu
score     ZABOJCASPAMU_SUBJECT_PERCENT 0.3

#Parowanie reguł aby zwiększyć moc
#https://zabojcaspamu.pl/parowanie-regul-aby-zwiekszyc-moc/
meta     ZABOJCASPAMU_TWO_DCCRED ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR) 
describe ZABOJCASPAMU_TWO_DCCRED ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR) 
score    ZABOJCASPAMU_TWO_DCCRED 1
 
#Domena zawiera wiele cyfr
#https://zabojcaspamu.pl/domena-zawiera-wiele-cyfr/
header   ZABOJCASPAMU_DIGITS_DOMAIN        From=~/\@.+\d{3,}/
describe ZABOJCASPAMU_DIGITS_DOMAIN        Domena zawiera liczbe 3-cyfrowa
score    ZABOJCASPAMU_DIGITS_DOMAIN        0.3
 
#Link wypisujący z subskrypcji
#https://zabojcaspamu.pl/link-wypisujacy-z-subskrypcji/
uri      ZABOJCASPAMU_FSL_UNSUB_RATWARE     /unsubscribe\.php\?M=[0-9]+&C=[^& ]+&L=[0-9]+&N=[0-9]+/
describe ZABOJCASPAMU_FSL_UNSUB_RATWARE     Unsubscribe ratware signature
score    ZABOJCASPAMU_FSL_UNSUB_RATWARE     0.01
 
#Mam przyjemność
#https://zabojcaspamu.pl/mam-przyjemnosc/
body        ZABOJCASPAMU_MAM_PRZYJEMNOSC  /Mam przyjemno.{1,8}/
describe    ZABOJCASPAMU_MAM_PRZYJEMNOSC  wystepuje fraza 'Mam przyjemnosc'
score       ZABOJCASPAMU_MAM_PRZYJEMNOSC  0.2

#Pole X-PHP-Originating-Script
#https://zabojcaspamu.pl/pole-x-php-originating-script/
header   ZABOJCASPAMU_X_PHP_Originating  exists:X-PHP-Originating-Script
describe ZABOJCASPAMU_X_PHP_Originating  Has X-PHP-Originating-Script header
score    ZABOJCASPAMU_X_PHP_Originating  4
 
#Prosimy o zwrotną wiadomosc
#https://zabojcaspamu.pl/prosimy-o-zwrotna-wiadomosc/
body     ZABOJCASPAMU_ZWROTNA_WIADOMOSC  /wiadomo.{1,8} zwrotn.{1,8}|wiadomo(?:.{1,8}ci|.{1,10}) zwrotn(?:ej|.)|zwrotn(ej|.) wiadomo(.{1,8}ci|..)/
describe ZABOJCASPAMU_ZWROTNA_WIADOMOSC  zwrotna wiadomosc
score    ZABOJCASPAMU_ZWROTNA_WIADOMOSC  2.5
 
# Parowanie regul
# https://zabojcaspamu.pl/parowanie-regul/
meta     ZABOJCASPAMU_TWO_4427 ( ZABOJCASPAMU_MSID_LOCALHOST && ZABOJCASPAMU_XMAILER)
describe ZABOJCASPAMU_TWO_4427 ( ZABOJCASPAMU_MSID_LOCALHOST && ZABOJCASPAMU_XMAILER)
score    ZABOJCASPAMU_TWO_4427  0.5

meta     ZABOJCASPAMU_TWO_4 ( DEAR_SOMETHING && FREEMAIL_FROM)
describe ZABOJCASPAMU_TWO_4 ( DEAR_SOMETHING && FREEMAIL_FROM)
score    ZABOJCASPAMU_TWO_4 1

meta     ZABOJCASPAMU_TWO_275 ( FREEMAIL_FROM && LOTS_OF_MONEY)
describe ZABOJCASPAMU_TWO_275 ( FREEMAIL_FROM && LOTS_OF_MONEY)
score    ZABOJCASPAMU_TWO_275 0.7

meta     ZABOJCASPAMU_TWO_17126 ( MIME_HTML_ONLY && MPART_ALT_DIFF)
describe ZABOJCASPAMU_TWO_17126 ( MIME_HTML_ONLY && MPART_ALT_DIFF)
score    ZABOJCASPAMU_TWO_17126  0.8

meta     ZABOJCASPAMU_TWO_6151 ( FUZZY_CREDIT && MIME_HTML_ONLY)
describe ZABOJCASPAMU_TWO_6151 ( FUZZY_CREDIT && MIME_HTML_ONLY)
score    ZABOJCASPAMU_TWO_6151  1.5

meta     ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE)
describe ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE)
score    ZABOJCASPAMU_TWO_5358  0.5
 
#Mail zawiera naglowek X-Campaign
#https://zabojcaspamu.pl/mail-zawiera-naglowek-x-campaign/
header    ZABOJCASPAMU_XCAMP          exists:X-Campaign
describe  ZABOJCASPAMU_XCAMP          Zawiera X-Campaign
score     ZABOJCASPAMU_XCAMP          2

header    ZABOJCASPAMU_XCAMPID        exists:X-CampaignID
describe  ZABOJCASPAMU_XCAMPID        Zawiera X-CampaignID
score     ZABOJCASPAMU_XCAMPID        2
 
#Freshmail ciagly spamer
#https://zabojcaspamu.pl/freshmail-ciagly-spamer/
header     ZABOJCASPAMU_XABUSE_FRESH    X-Abuse=~/support\.freshmail\.com/
describe   ZABOJCASPAMU_XABUSE_FRESH    X-Abuse zawiera support.freshmail.com
score      ZABOJCASPAMU_XABUSE_FRESH    1
 
#Kuszenie darmowym lub gratisem
#https://zabojcaspamu.pl/kuszenie-darmowym-lub-gratisem/
header   ZABOJCASPAMU_SUBJECT_DARMO Subject=~/(?: darmo| gratis|bez op.{1,8}at)/
describe ZABOJCASPAMU_SUBJECT_DARMO W temacie znajduje sie ' darmo' 'gratis'
score    ZABOJCASPAMU_SUBJECT_DARMO 0.5
 
#Spamerskie loginy w adresach nadawców
#https://zabojcaspamu.pl/796/
header   ZABOJCASPAMU_FROM_LOGIN_STUP From=~ /(?:marketing|foryou|news\d|mailing|root|mailer|kampanie|reklama|oferta|anonymous|www-data|http|szkolenia|kurys)\@/
describe ZABOJCASPAMU_FROM_LOGIN_STUP From mailing,marketing,root,mailer,http,reklama,oferta,anonymous,www-data,szkolenia,kursy
score    ZABOJCASPAMU_FROM_LOGIN_STUP 1
 
#Dużo adresatów w jawnej kopii
#https://zabojcaspamu.pl/duzo-adresatow-w-jawnej-kopii/
header   ZABOJCASPAMU_TO_TOO_MANY To =~ /(?:,[^,]{1,80}){30}/
describe ZABOJCASPAMU_TO_TOO_MANY To: too many recipients
score    ZABOJCASPAMU_TO_TOO_MANY 1
 
#dziwne postacie domen
#https://zabojcaspamu.pl/dziwne-postacie-domen/
header   ZABOJCASPAMU_DIGITS_DOMAIN        From=~/\@.+\d{3,}/
describe ZABOJCASPAMU_DIGITS_DOMAIN        Domena zawiera liczbe 3-cyfrowa
score    ZABOJCASPAMU_DIGITS_DOMAIN        0.2

#maile z fraza news0
#https://zabojcaspamu.pl/adres-z-fraza-news0/
header    ZABOJCASPAMU_RETURNPATH_ATHOST  Return-Path=~/\@host\d+\./
describe  ZABOJCASPAMU_RETURNPATH_ATHOST  W Return path jest '@host\d+.'
score     ZABOJCASPAMU_RETURNPATH_ATHOST  0.3
 
#falszywe DHLe
#https://zabojcaspamu.pl/falszywe-przesylki-dhl/
header    __ZABOJCASPAMU_FAKE_DHL_1     From=~/(DHL|dhl)/
header    __ZABOJCASPAMU_FAKE_DHL_2     Subject=~/\d{9,11}/
meta      ZABOJCASPAMU_FAKE_DHL         __ZABOJCASPAMU_FAKE_DHL_1 && __ZABOJCASPAMU_FAKE_DHL_2 && ZABOJCASPAMUL_FAKE_MSID
describe  ZABOJCASPAMU_FAKE_DHL         Falszywa wiadomosc o wysylce DHL
score     ZABOJCASPAMU_FAKE_DHL         10

#niebieski.net sprawdzamy po IP
#https://zabojcaspamu.pl/niebieski-net-sprawdzamy-po-ip/
header    EXPERMINETAL_NIEBIESKI_IP   ALL=~/(195\.149\.228\.82|195\.149\.229\.171|94\.152\.140\.255|94\.152\.142\.214|94\.152\.193\.100|94\.152\.193\.101|94\.152\.193\.102|94\.152\.193\.103|94\.152\.193\.104|94\.152\.193\.105|94\.152\.193\.106|94\.152\.193\.107|94\.152\.193\.110|94\.152\.193\.111|94\.152\.193\.112|94\.152\.193\.113|94\.152\.193\.116|94\.152\.193\.117|94\.152\.193\.120|94\.152\.193\.121|94\.152\.193\.122|94\.152\.193\.123|94\.152\.193\.124|94\.152\.193\.125|94\.152\.193\.126|94\.152\.193\.127|94\.152\.193\.131|94\.152\.193\.132|94\.152\.193\.133|94\.152\.193\.134|94\.152\.193\.135|94\.152\.193\.136|94\.152\.193\.137|94\.152\.193\.138|94\.152\.193\.23|94\.152\.193\.24|94\.152\.193\.25|94\.152\.193\.26|94\.152\.193\.27|94\.152\.193\.28|94\.152\.193\.29|94\.152\.193\.30|94\.152\.193\.31|94\.152\.193\.32|94\.152\.193\.33|94\.152\.193\.34|94\.152\.193\.35|94\.152\.193\.36|94\.152\.193\.37|94\.152\.193\.38|94\.152\.193\.39|94\.152\.193\.40|94\.152\.193\.41|94\.152\.193\.42|94\.152\.193\.43|94\.152\.193\.44|94\.152\.193\.45|94\.152\.193\.46|94\.152\.193\.47|94\.152\.193\.48|94\.152\.193\.49|94\.152\.193\.50|94\.152\.193\.51|94\.152\.193\.52|94\.152\.193\.53|94\.152\.193\.54|94\.152\.193\.55|94\.152\.193\.60|94\.152\.193\.61|94\.152\.193\.62|94\.152\.193\.63|94\.152\.193\.66|94\.152\.193\.67|94\.152\.193\.68|94\.152\.193\.69|94\.152\.193\.70|94\.152\.193\.71|94\.152\.193\.72|94\.152\.193\.73|94\.152\.193\.74|94\.152\.193\.75|94\.152\.193\.76|94\.152\.193\.77|94\.152\.193\.78|94\.152\.193\.79|94\.152\.193\.80|94\.152\.193\.81|94\.152\.193\.82|94\.152\.193\.83|94\.152\.193\.84|94\.152\.193\.85|94\.152\.193\.86|94\.152\.193\.87|94\.152\.193\.88|94\.152\.193\.89|94\.152\.193\.92|94\.152\.193\.93|94\.152\.193\.94|94\.152\.193\.95|94\.152\.193\.96|94\.152\.193\.97|94\.152\.193\.98|94\.152\.193\.99)/
describe  EXPERMINETAL_NIEBIESKI_IP    IP w Received z zakresu niebieski.net
score     EXPERMINETAL_NIEBIESKI_IP    0.3

#wysyp maile z dhlu
#https://zabojcaspamu.pl/alert-wysyp-lepiej-przygotowanego-ataku-przesylka-dhl/
header   __ZABOJCASPAMU_FAKE_DHL2_1     Subject=~/(Sendung|Versand) \d{9,12}/
header   __ZABOJCASPAMU_FAKE_DHL2_2     From:addr=~/dhl\./
meta     ZABOJCASPAMU_FAKE_DHL2         __ZABOJCASPAMU_FAKE_DHL2_1 && ! __ZABOJCASPAMU_FAKE_DHL2_2
describe ZABOJCASPAMU_FAKE_DHL2         Falszywa wiadomosc o wysylce DHL (v2)
score    ZABOJCASPAMU_FAKE_DHL2         10

header   __ZABOJCASPAMU_FAKE_DHL3_1     From=~/DHL/
header   __ZABOJCASPAMU_FAKE_DHL3_2     From:addr=~/(dhl\.|dhl24\.)/i
meta     ZABOJCASPAMU_FAKE_DHL3         __ZABOJCASPAMU_FAKE_DHL3_1 && !__ZABOJCASPAMU_FAKE_DHL3_2
describe ZABOJCASPAMU_FAKE_DHL3         Falszywa wiadomosc o wysylce DHL (v3)
score    ZABOJCASPAMU_FAKE_DHL3         10

header   EXPERIMENTAL_FAKE_DHL4     Subject=~/przesylk. DHL/
describe EXPERIMENTAL_FAKE_DHL4     Falszywa wiadomosc o wysylce DHL (v4)
score    EXPERIMENTAL_FAKE_DHL4     10

header   __EXPERIMENTAL_FAKE_DHL5_1 From=~/DHL/
header   __EXPERIMENTAL_FAKE_DHL5_2 exists:DKIM-Signature
header   __EXPERIMENTAL_FAKE_DHL5_3 ALL=~/d=dhl\.com\; /
header   __EXPERIMENTAL_FAKE_DHL5_4 Authentication-Results=~/ dkim=pass/
meta     EXPERIMENTAL_FAKE_DHL5     __EXPERIMENTAL_FAKE_DHL5_1 && (!__EXPERIMENTAL_FAKE_DHL5_2 || ! __EXPERIMENTAL_FAKE_DHL5_3 || ! __EXPERIMENTAL_FAKE_DHL5_4)
describe EXPERIMENTAL_FAKE_DHL5    falszywa wiadomosc o Wysylce DHL (v5 sprawdzanie DKIM)
score    EXPERIMENTAL_FAKE_DHL5    0.01

header  __ZABOJCASPAMU_FAKE_DHL6_1 From=~/(dhl|DHL)\./
header  __ZABOJCASPAMU_FAKE_DHL6_2 From:addr=~/dhl\./i
meta     ZABOJCASPAMU_FAKE_DHL6     __ZABOJCASPAMU_FAKE_DHL6_1 && ! __ZABOJCASPAMU_FAKE_DHL6_2
describe ZABOJCASPAMU_FAKE_DHL6    falszywa wiadomosc o Wysylce DHL (v6 dhl. sie wyswietla a nie ma w adresie)
score    ZABOJCASPAMU_FAKE_DHL6    10

#iPKO spoofing
#https://zabojcaspamu.pl/phishing-na-ipko-sie-uaktywnil/
header    __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 Subject=~/ iPKO/
rawbody    __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 /\<a href="http:\/\/[a-z]+\-ipko.com\/"> www.ipko.pl <\/a>/
meta      ZABOJCASPAMU_FROM_IPKO_SPOOF  __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 && __ZABOJCASPAMU_FROM_IPKO_SPOOF_2
describe  ZABOJCASPAMU_FROM_IPKO_SPOOF  Spoofing o iPKO
score     ZABOJCASPAMU_FROM_IPKO_SPOOF  10

#Rachunki z Telekomu
#https://zabojcaspamu.pl/niemieckie-rachunki-z-telekom-de/
header    __ZABOJCASPAMU_RECHNUNG_201506111_1     Subject=~/Ihre Telekom Festnetz\-Rechnung/
header    __ZABOJCASPAMU_RECHNUNG_201506111_2     From=~/Telekom/
header    __ZABOJCASPAMU_RECHNUNG_201506111_3     From:addr=~/telekom\./
meta      ZABOJCASPAMU_RECHNUNG_201506111   __ZABOJCASPAMU_RECHNUNG_201506111_1 &&  __ZABOJCASPAMU_RECHNUNG_201506111_2 && ! __ZABOJCASPAMU_RECHNUNG_201506111_3
describe  ZABOJCASPAMU_RECHNUNG_201506111    Spam z Ihre Telekom Festnetz-Rechnung
score     ZABOJCASPAMU_RECHNUNG_201506111    10

header      __ZABOJCASPAMU_RECHNUNG_201506112_1     From=~/Telekom/
uri_detail  __ZABOJCASPAMU_RECHNUNG_201506112_2     text=~/www\.(t-online|telekom)\.de/ cleaned!~/(t-online|telekom)\.de/
meta        ZABOJCASPAMU_RECHNUNG_201506112         __ZABOJCASPAMU_RECHNUNG_201506112_1 && __ZABOJCASPAMU_RECHNUNG_201506112_2
describe    ZABOJCASPAMU_RECHNUNG_201506112         Fake Telekom po niemiecku
score       ZABOJCASPAMU_RECHNUNG_201506112         10

# Spoof iPKO
# https://zabojcaspamu.pl/phishing-na-ipko-sie-uaktywnil/
header    __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 Subject=~/ iPKO/
rawbody   __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 /\<a href="https:\/\/[a-z]+\-ipko.com\/"> www.ipko.pl <\/a>/
meta      ZABOJCASPAMU_FROM_IPKO_SPOOF  __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 && __ZABOJCASPAMU_FROM_IPKO_SPOOF_2
describe  ZABOJCASPAMU_FROM_IPKO_SPOOF  Spoofing o iPKO

#Niemieckie rachunki z Telekom.de
#https://zabojcaspamu.pl/niemieckie-rachunki-z-telekom-de/
header    __ZABOJCASPAMU_RECHNUNG_201506111_1     Subject=~/Ihre Telekom Festnetz\-Rechnung/
header    __ZABOJCASPAMU_RECHNUNG_201506111_2     From=~/Telekom/
header    __ZABOJCASPAMU_RECHNUNG_201506111_3     From:addr=~/telekom\./
meta      ZABOJCASPAMU_RECHNUNG_201506111   __ZABOJCASPAMU_RECHNUNG_201506111_1 &&  __ZABOJCASPAMU_RECHNUNG_201506111_2 && ! __ZABOJCASPAMU_RECHNUNG_201506111_3
describe  ZABOJCASPAMU_RECHNUNG_201506111    Spam z Ihre Telekom Festnetz-Rechnung
score     ZABOJCASPAMU_RECHNUNG_201506111    10
score     ZABOJCASPAMU_FROM_IPKO_SPOOF  10

#Twoja skrzynka zostala zablokowana
#https://zabojcaspamu.pl/twoja-skrzynka-zostala-zablokowana/
#Poprawiona regula https://zabojcaspamu.pl/skrzynka-pocztowa-zostala-tymczasowo-zawieszona/
header    __ZABOJCASPAMU_TWOJASKRZYNKA_1 From=~/(System Admin|IT ADMIN|Admin)/
header    __ZABOJCASPAMU_TWOJASKRZYNKA_2 Subject=~/(Zostala Tymczasowo Zawieszona|woja skrzynka pocztowa zostala czasowo|Twoje konto email przekroczyles limitu bagazu|OSTRZEZENIE|Konto E-mail Zostal Zawieszony)/
meta      ZABOJCASPAMU_TWOJASKRZYNKA     __LOCAL_TWOJASKRZYNKA_1 && __LOCAL_TWOJASKRZYNKA_2
describe  ZABOJCASPAMU_TWOJASKRZYNKA     Email o przeplnionej skrzynce
score     ZABOJCASPAMU_TWOJASKRZYNKA     10


#Polski echelon
#https://zabojcaspamu.pl/polski-system-echelon-belkocze/
header    ZABOJCASPAMU_SYSTEMECHELON        From=~/System Echelon/
describe  ZABOJCASPAMU_SYSTEMECHELON        Belkot z Systemu Echelon
score     ZABOJCASPAMU_SYSTEMECHELON        10

#Virgin Money o pracy zarobkach itd
#https://zabojcaspamu.pl/spam-z-polem-from-bez-domeny/
header    __ZABOJCASPAMU_FROM_NO_DOMAIN1      Return-Path=~/<>/
header    __ZABOJCASPAMU_FROM_NO_DOMAIN2      From:addr=~/\@\s*$/
meta      ZABOJCASPAMU_FROM_NO_DOMAIN         __ZABOJCASPAMU_FROM_NO_DOMAIN1 && __ZABOJCASPAMU_FROM_NO_DOMAIN2
describe  ZABOJCASPAMU_FROM_NO_DOMAIN        Pole Return-Path <> a From:addr bez domeny
score     ZABOJCASPAMU_FROM_NO_DOMAIN        10

#Spam z domeny xyz
#https://zabojcaspamu.pl/drazniacy-spam-z-domeny-xyz/
header    ZABOJCASPAMU_SERVICEMXXYZ From:addr=~/service\d+\@mx\d+\.(m|s)[a-z]+\.xyz$/
describe  ZABOJCASPAMU_SERVICEMXXYZ Z adresu postaci service1@mx1.mcostam.xyz
score     ZABOJCASPAMU_SERVICEMXXYZ 10

#czy w domenie jest DKIM
#https://zabojcaspamu.pl/spf-i-dkim-pomagaja-ubijac-spam/
header   __ZABOJCASPAMU_FROM_DKIM_SIGNER2 From:addr =~ /\@(yahoo\.|gmail\.com|googlemail\.com|facebookmail\.com|goldenline\.pl|gumtree\.pl|interia\.pl|nasza\-klasa\.pl|praca\.pl|pro\.onet\.pl|yahoo\.pl)/
header    __ZABOJCASPAMU_DKIM_EXISTS_D  DKIM-Signature=~/d=(yahoo\.|gmail\.com|googlemail\.com|facebookmail\.com|wp\.pl|goldenline\.pl|gumtree\.pl|interia\.pl|nasza\-klasa\.pl|praca\.pl|pro\.onet\.pl|yahoo\.pl)/m
meta       ZABOJCASPAMU_DKIM_NO_EXISTS  __ZABOJCASPAMU_FROM_DKIM_SIGNER2 && ! __ZABOJCASPAMU_DKIM_EXISTS_D
describe   ZABOJCASPAMU_DKIM_NO_EXISTS  Powinien byc DKIM a nie ma
score      ZABOJCASPAMU_DKIM_NO_EXISTS  3

#Message-ID od v.tld.pl
#https://zabojcaspamu.pl/message-id-od-v-tld-pl/
header     ZABOJCASPAMU_MSID_VTLD          Message-ID=~/\@\d+\.v\.tld\.pl/
describe   ZABOJCASPAMU_MSID_VTLD          Message id z v.tld.pl
score      ZABOJCASPAMU_MSID_VTLD          10

#Zarabianie na gieldzie
#https://zabojcaspamu.pl/program-ktory-sam-zrobi-ze-bedziesz-bogaty/
body       __ZABOJCASPAMU_GIELDA_AI1           /\[ https:\/\/[a-z.-]+\/[a-z\/]+\.php\?b=2 \]/
body       __ZABOJCASPAMU_GIELDA_AI2           /(ztuczna inteligencj|czlowiek spi|rogram zrobi wszystko|nwestujac|owiedz sie i zacznij|iemieccy matematycy |iemieccy uczeni|ktory handluje|na gieldzie|rynek gieldowy|wszystko sam)/
meta       ZABOJCASPAMU_GIELDA_AI           __ZABOJCASPAMU_GIELDA_AI1 && __ZABOJCASPAMU_GIELDA_AI2
describe   ZABOJCASPAMU_GIELDA_AI           Namawianie do gry na gieldzie
score      ZABOJCASPAMU_GIELDA_AI           10

rawbody   ZABOJCASPAMU_BOGATY               /\[ http:\/\/[a-z.-]+\/[a-z\/]+\.php\?b=2 \] \b[a-z\s]+/
describe  ZABOJCASPAMU_BOGATY               mail ze zostaniesz bogaty i program do gieldy
score     ZABOJCASPAMU_BOGATY               5

# Wysyp maili z eval code
# https://zabojcaspamu.pl/wysyp-maili-z-eval-code/
header     ZABOJCASPAMU_EVAL_CODE          X-PHP-Originating-Script=~/eval\(\)'d code/
describe   ZABOJCASPAMU_EVAL_CODE          X-PHP-Originating-Script zawiera eval\(\)'d code
score      ZABOJCASPAMU_EVAL_CODE          10
 
# 40 pln za darmo
# https://zabojcaspamu.pl/40-pln-za-darmo/
uri        ZABOJCASPAMU_40PLNZADARMO1       /40plnzadarmo\.com/
describe   ZABOJCASPAMU_40PLNZADARMO1       Link z 40plnzadarmo.com
score      ZABOJCASPAMU_40PLNZADARMO1       10

header     __ZABOJCASPAMU_40PLNZADARMO2f      From=~/40/
uri        __ZABOJCASPAMU_40PLNZADARMO2u      /40plnzadarmo\.com/
meta       ZABOJCASPAMU_40PLNZADARMO2         __ZABOJCASPAMU_40PLNZADARMO2f && __ZABOJCASPAMU_40PLNZADARMO2u
describe   ZABOJCASPAMU_40PLNZADARMO2         Link z 40plnzadarmo.com
score      ZABOJCASPAMU_40PLNZADARMO2         10

# Falszywe przesylki z Poczty Polskiej
# https://zabojcaspamu.pl/falszywe-przesylki-z-poczty-polskiej/
header   __ZABOJCASPAMU_POCZTAPOLSKA_1 From=~/Poczta Polska/
header   __ZABOJCASPAMU_POCZTAPOLSKA_2 From:addr=~/poczta\-polska\.pl/
meta     ZABOJCASPAMU_POCZTAPOLSKA1  _ZABOJCASPAMU_POCZTAPOLSKA_1 && ! __ZABOJCASPAMU_POCZTAPOLSKA_2
describe ZABOJCASPAMU_POCZTAPOLSKA1 Falszywy adres z Poczty Polskiej
score    ZABOJCASPAMU_POCZTAPOLSKA1 10

header    __ZABOJCASPAMU_POCZTAPOLSKA_3  From=~/Poczta Polska/
meta      ZABOJCASPAMU_POCZTAPOLSKA2    __ZABOJCASPAMU_POCZTAPOLSKA_3 && ! SPF_PASS
describe  ZABOJCASPAMU_POCZTAPOLSKA2 Wymagane SPF dla Poczta Polska
score     ZABOJCASPAMU_POCZTAPOLSKA2  10

# W nadawcy @news lub @info
# https://zabojcaspamu.pl/w-nadawcy-news-lub-info/
header    ZABOJCASPAMU_RETURNPATH_ATHOST  Return-Path=~/\@(host|news)\d+\./
describe  ZABOJCASPAMU_RETURNPATH_ATHOST  W Return path jest '@(host|news)\d+.'
score     ZABOJCASPAMU_RETURNPATH_ATHOST  0.5
 
# Gumtree i ogloszenia o prace
# https://zabojcaspamu.pl/gumtree-i-ogloszenia-o-prace/
header    ZABOJCASPAMU_GUMTREE       Subject=~/Poniżej znajduje się odpowiedź na Twoje ogłoszenie Gumtree/
describe  ZABOJCASPAMU_GUMTREE       Informacja ze ogloszenie z gumtree
score     ZABOJCASPAMU_GUMTREE       -10
 
# Za dlugi temat
# https://zabojcaspamu.pl/za-dlugi-temat/
header    ZABOJCASPAMU_VERY_LONG_SUBJ        Subject=~/.{100,}/
describe  ZABOJCASPAMU_VERY_LONG_SUBJ        Bardzo dlugi temat 
score     ZABOJCASPAMU_VERY_LONG_SUBJ        0.3 

# Firmy zbierajace maile
# https://zabojcaspamu.pl/firmy-zbierajace-maile/
body      ZABOJCASPAMU_HARVEST_MAILI /(?:Yintaro Sp. z o.o.|LEAD RATE LTD|Leadstream Sp\. z o\.o|New Ursa Sp\. z o\.o|przez serwis domenabiznesu\.pl|przez redsales\.pl|BuyTogether|ProDirect Sp\. z o\.o|SANMARKS Sp\. z o\.o|Polsk.{1,8} Agencj{1,14} Satelitarn.{1,8} Orbita S\. A\.|wyjatkoweoferty\.pl|SANMARKS Sp\. z o\.o|HBI Polska|KOMPASS Poland|Kompass Poland|IPEiK|UAB |TeleCom|Venito-Reklama|biz-catalogs|ProDirect Sp|OpenRate )/
describe  ZABOJCASPAMU_HARVEST_MAILI Pada nazwa firm harvestujacych maile(HBI,KOMPASS,IPEiKi,UAB(Venito-Reklama),biz-catalogs,ProDirect Sp,TeleCom)
score     ZABOJCASPAMU_HARVEST_MAILI 4
 
# Twoja skrzynak zostala zablokowana
# https://zabojcaspamu.pl/skrzynka-pocztowa-zostala-tymczasowo-zawieszona/
header    __ZABOJCASPAMU_TWOJASKRZYNKA_1 From=~/(System Admin|IT ADMIN|Admin)/
header    __ZABOJCASPAMU_TWOJASKRZYNKA_2 Subject=~/(YOUR EMAIL ACCOUNT SUSPENSION NOTICE|Zostala Tymczasowo Zawieszona|woja skrzynka pocztowa zostala czasowo|Twoje konto email przekroczyles limitu bagazu|OSTRZEZENIE!!!)/
meta      ZABOJCASPAMU_TWOJASKRZYNKA     __LOCAL_TWOJASKRZYNKA_1 && __LOCAL_TWOJASKRZYNKA_2
describe  ZABOJCASPAMU_TWOJASKRZYNKA     Email o przeplnionej skrzynce
score     ZABOJCASPAMU_TWOJASKRZYNKA     10

# Login zawiera wiele cyfr
# https://zabojcaspamu.pl/login-zawiera-wiele-cyfr/ 
header   ZABOJCASPAMU_MANY_DIGITS_MAIL   From:addr =~ /\d{7,}/
describe ZABOJCASPAMU_MANY_DIGITS_MAIL   Email has many digits
score    ZABOJCASPAMU_MANY_DIGITS_MAIL   0.1
 
# W tytule slowo sprawdz
# https://zabojcaspamu.pl/w-tytule-slowo-sprawdz/
header   ZABOJCASPAMU_SUBJ_SPRAWDZ       Subject=~/(?:(S|s)prawd=C5|(S|s)prawdź|(S|s)prawd=BC)/
describe ZABOJCASPAMU_SUBJ_SPRAWDZ       Slowo sprawdz w temacie
score    ZABOJCASPAMU_SUBJ_SPRAWDZ       0.4
 
# Duze czcionki w mailu
# https://zabojcaspamu.pl/duze-czcionki-w-mailu/
rawbody  ZABOJCASPAMU_LARGE_SIZE_FONT /font-size:\s*(2[0-9]|3[0-9]|4[0-9])\s*px/
describe ZABOJCASPAMU_LARGE_SIZE_FONT Fonts 20+px
score    ZABOJCASPAMU_LARGE_SIZE_FONT 0.3
 
# Dobra regula wzmacniająca
# https://zabojcaspamu.pl/dobra-regula-wzmacniajaca/
meta        ZABOJCASPAMU_TWO_FREEMIME ( FREEMAIL_FROM && MIME_HTML_ONLY)
describe    ZABOJCASPAMU_TWO_FREEMIME ( FREEMAIL_FROM && MIME_HTML_ONLY)
score       ZABOJCASPAMU_TWO_FREEMIME 0.9
 
# W domenie news lub info
#https://zabojcaspamu.pl/w-domenie-news-lub-info/
header    ZABOJCASPAMU_RETURNPATH_ATNEWS  Return-Path=~/\@(news|info)\d+\./
describe  ZABOJCASPAMU_RETURNPATH_ATNEWS  W Return path jest '@(news|info)\d+\.'
score     ZABOJCASPAMU_RETURNPATH_ATNEWS  0.5
 
# Komentarz w kodzie HTML maila
# https://zabojcaspamu.pl/komentarz-w-kodzie-html-maila/
rawbody    ZABOJCASPAMU_FSL_HTML_COMMENT    /<!--/
describe   ZABOJCASPAMU_FSL_HTML_COMMENT    Komentarz wHTML
score      ZABOJCASPAMU_FSL_HTML_COMMENT    0.7

# reklama SEO
# https://zabojcaspamu.pl/reklama-seo/
header   __FSL_SUBJ_SEO_1      Subject =~ /\bSEO\b/i
header   __FSL_SUBJ_SEO_2      Subject =~ /\bsearch engine optimi[sz]ation\b/i
meta     ZABOJCASPAMU_FSL_SUBJ_SEO          (__FSL_SUBJ_SEO_1 || __FSL_SUBJ_SEO_2)
describe ZABOJCASPAMU_FSL_SUBJ_SEO          Search engine optimisation
score    ZABOJCASPAMU_FSL_SUBJ_SEO          1.0

# Kolejna regula wzmacniajaca
# https://zabojcaspamu.pl/kolejna-regula-wzmacniajaca/
header   ZABOJCASPAMU_UNSUBS         exists:List-Unsubscribe
describe ZABOJCASPAMU_UNSUBS         Zawiera List-Unsubscribe
score    ZABOJCASPAMU_UNSUBS         0.1

meta     ZABOJCASPAMU_BAYES_HIGH (BAYES_80 +  BAYES_80 + BAYES_95 + BAYES_99)>0
describe ZABOJCASPAMU_BAYES_HIGH Bayes high
score    ZABOJCASPAMU_BAYES_HIGH 0.001

meta     ZABOJCASPAMU_TWO_2563 ( ZABOJCASPAMU_BAYES_HIGH && ZABOJCASPAMU_UNSUBS )
describe ZABOJCASPAMU_TWO_2563 ( ZABOJCASPAMU_BAYES_HIGH && ZABOJCASPAMU_UNSUBS )
score    ZABOJCASPAMU_TWO_2563 2.5

# Odeslij maila z tematem Tak lub Nie.
# https://zabojcaspamu.pl/odeslij-maila-z-tematem-tak-lub-nie/
body        __ZABOJCASPAMU_MAIL_TAK_1      /\WTAK\W/
body        __ZABOJCASPAMU_MAIL_NIE_1      /\WNIE\W/
body        __ZABOJCASPAMU_MAIL_TAK_2      /\w\"Tak\"\w/
body        __ZABOJCASPAMU_MAIL_NIE_2      /\w\"Nie\"\w/
meta        ZABOJCASPAMU_MAIL_EXISTS_TAKNIE (__ZABOJCASPAMU_MAIL_TAK_1 && __ZABOJCASPAMU_MAIL_NIE_1) || (__ZABOJCASPAMU_MAIL_TAK_2 && __ZABOJCASPAMU_MAIL_NIE_2)
describe    ZABOJCASPAMU_MAIL_EXISTS_TAKNIE Wystepuja wyrazy TAK i NIE
score       ZABOJCASPAMU_MAIL_EXISTS_TAKNIE 1.2
 
# Mail z rezygnacja
# https://zabojcaspamu.pl/mail-z-rezygnacja/
rawbody  ZABOJCASPAMU_MAIL_REZYGNACJA /(>Rezygnuj<\/a>|\?subject=Rezygnacja\")/
describe ZABOJCASPAMU_MAIL_REZYGNACJA Mail o rezygnacji ze znacznikiem maila
score    ZABOJCASPAMU_MAIL_REZYGNACJA 0.8
 
# Kolejna regula wzmacniająca istniejące
# https://zabojcaspamu.pl/kolejna-regula-wzmacniajaca-istniejace/
meta     ZABOJCASPAMU_TWO_8817 ( FORGED_OUTLOOK_HTML && MIME_HTML_ONLY)
describe ZABOJCASPAMU_TWO_8817 ( FORGED_OUTLOOK_HTML && MIME_HTML_ONLY)
score    ZABOJCASPAMU_TWO_8817 1
 
# Important message
#https://zabojcaspamu.pl/important-message/
header    __ZABOJCASPAMU_IMPORTMESS_1     From:addr=~/\@(op|poczta\.onet|interia|wp|neostrada|gazeta)\.pl/
header    __ZABOJCASPAMU_IMPORTMESS_2     Subject=~/^Fw: /
body      __ZABOJCASPAMU_IMPORTMESS_3     /Important message, visit http:/
meta      ZABOJCASPAMU_IMPORTMESS        __ZABOJCASPAMU_IMPORTMESS_1 && __ZABOJCASPAMU_IMPORTMESS_2 && __ZABOJCASPAMU_IMPORTMESS_3
describe  ZABOJCASPAMU_IMPORTMESS       Widomosc z wp.pl ze wazna wiadomosc
score     ZABOJCASPAMU_IMPORTMESS       10
 
 
# jestemy firma
# https://zabojcaspamu.pl/jestesmy-firma/
body      EXPERIMENTAL_JESTESMY_FIRMA   /Jeste.{1,8} firm.{1,8}/
describe  EXPERIMENTAL_JESTESMY_FIRMA   Fraza Jestemy firma
score     EXPERIMENTAL_JESTESMY_FIRMA   0.3

# Naprzemienne ciagi znakow i cyfr
# https://zabojcaspamu.pl/naprzemienne-ciagi-znakow-i-cyfr/
header   ZABOJCASPAMU_RETURN_PATH_MISC_CHAR            Return-Path=~/[a-zA-Z]+\d+[a-zA-Z]+\d+\@/
describe ZABOJCASPAMU_RETURN_PATH_MISC_CHAR            return-path misc char
score    ZABOJCASPAMU_RETURN_PATH_MISC_CHAR            0.2

# Zapytanie kolejny raz
# https://zabojcaspamu.pl/zapytanie-kolejny-raz/
header    ZABOJCASPAMU_ZAPYTANIE_SUBJ Subject=~/(apytanie|ZAPYTANIE)/
describe  ZABOJCASPAMU_ZAPYTANIE_SUBJ W temacie 'Zapytanie'
score     ZABOJCASPAMU_ZAPYTANIE_SUBJ 0.5
 
#Zwrotny mail
# https://zabojcaspamu.pl/zwrotny-mail/
body     ZABOJCASPAMU_ZWROTNY_MAIL       /(e-|e)?mail(a?|em) zwrotn(?:ego|y)|zwrotn(ego|y|ym) (?:e-|e)?mail/
describe ZABOJCASPAMU_ZWROTNY_MAIL       Zwrotny mail
score    ZABOJCASPAMU_ZWROTNY_MAIL       3
 
#Mailing zrealizowany przez
# https://zabojcaspamu.pl/mailing-zrealizowany-przez/
body      ZABOJCASPAMU_MAZRPRZEZ    /Mailing zrealizowany przez/
describe  ZABOJCASPAMU_MAZRPRZEZ    Zawiera 'Mailing zrealizowany przez'
score     ZABOJCASPAMU_MAZRPRZEZ    1
 
# Adres z numerem serwera w home.pl
# https://zabojcaspamu.pl/adres-z-numerem-serwera-w-home-pl/
header    ZABOJCASPAMU_FROM_DIGIT_HOME  From=~/serwer\d\d\d\d\d\d\d\.home\.pl/
describe  ZABOJCASPAMU_FROM_DIGIT_HOME  From ma ciag np server.4223333.home.pl
score     ZABOJCASPAMU_FROM_DIGIT_HOME  4

# Kolejny raz FW:important czesc nastepna
# https://zabojcaspamu.pl/kolejny-raz-fwimportant/

header    __ZABOJCASPAMU_TO_TOO_MANY_1 To =~ /(?:,[^,]{1,80}){3}/ 
header    __ZABOJCASPAMU_IMPORTMESSv4_1     Subject=~/^Fw: /
meta      ZABOJCASPAMU_IMPORTMESSv4         __ZABOJCASPAMU_TO_TOO_MANY_1 && __ZABOJCASPAMU_IMPORTMESSv4_1
describe  ZABOJCASPAMU_IMPORTMESSv4        Wiadomosc FW: Important,read this lub inne
score     ZABOJCASPAMU_IMPORTMESSv4         15

# Warsztaty szkolenia i inne pierdoly
# https://zabojcaspamu.pl/warsztaty-szkolenia-i-inne-pierdoly/
header      ZABOJCASPAMU_WARSZTATY_ETC  Subject=~/(arsztaty|Kurs |Kursy |zkolenia |zkolenie )/
describe ZABOJCASPAMU_WARSZTATY_ETC  Info o warsztatach szkoleniac kursach...
score       ZABOJCASPAMU_WARSZTATY_ETC  1

# Tym razem bez FW czyli important message po raz n-ty
# https://zabojcaspamu.pl/tym-razem-bez-fw-czyli-important-message-po-raz-n-ty/
header __ZABOJCASPAMU_TO_TOO_MANYv4 To =~ /(?:,[^,]{1,80}){2}/
header __ZABOJCASPAMU_IMPORTMESSv4_1 Subject=~/^important message/
rawbody __ZABOJCASPAMU_IMPORTMESSv4_2 /New message, please read/
meta ZABOJCASPAMU_IMPORTMESSv4 __ZABOJCASPAMU_TO_TOO_MANYv4 && __ZABOJCASPAMU_IMPORTMESSv4_1 && __ZABOJCASPAMU_IMPORTMESSv4_2
describe ZABOJCASPAMU_IMPORTMESSv4 Wiadomosc important message
score ZABOJCASPAMU_IMPORTMESSv4 15


# Spam w pliku jar z tematem PO#
#
header     EXPERIMENTAL_POHASHNUMBER    Subject=~/^PO\#\d\d\d\d\d\d\d/
describe   EXPERIMENTAL_POHASHNUMBER    Temat zaczyna sie od PO#
score      EXPERIMENTAL_POHASHNUMBER    10

# Maile z darmowych kont z dziwnymi kodowaniami
meta      ZABOJCASPAMU_FREE_ENCONDIG  FREEMAIL_FROM && (SUBJECT_NEEDS_ENCODING || SUBJ_ILLEGAL_CHARS)
describe  ZABOJCASPAMU_FREE_ENCONDIG  FreeMail && Subject Encoding || Illegar Chars
score     ZABOJCASPAMU_FREE_ENCONDIG  1.3
 
#Pole List-Unsubscribe spamerow
#https://zabojcaspamu.pl/pole-list-unsubscribe-spamerow/
header     ZABOJCASPAMU_LOCUSNURI       List-Unsubscribe=~/(novaskills\.pl|mail\.stunning-mail\.pl|s.mailing\.nk\-net\.pl|news\.ravelo\.pl|loginsr\.com\.pl|mailingsender\.pl)/
describe   ZABOJCASPAMU_LOCUSNURI     W polu List-Unsubscribe domeny spamerow
score      ZABOJCASPAMU_LOCUSNURI     1

# Blokada na ipko
uri_detail   ZABOJCASPAMU_FAKE_IPKOv3  text=~/pkobp\-weryfikuj\.com/ cleaned!~/www.ipko.pl/
describe     ZABOJCASPAMU_FAKE_IPKOv3  fake url IPKO kolena wersja
score        ZABOJCASPAMU_FAKE_IPKOv3  10

#kolejny raz important message
header    __ZABOJCASPAMU_IMPORTMESSv4_1     Subject=~/^Fw: /
meta      ZABOJCASPAMU_IMPORTMESSv4         DATE_IN_FUTURE_12_24 && __ZABOJCASPAMU_IMPORTMESSv4_1
describe  ZABOJCASPAMU_IMPORTMESSv4         Wiadomosc FW: Important,read this lub inne
score     ZABOJCASPAMU_IMPORTMESSv4         15

# Spam z tytulem Agri Basics
# https://zabojcaspamu.pl/spam-z-tytulem-agri-basics/
header    ZABOJCASPAMU_AGRIBASIC         Subject=~/Agri Basics invoice \#\d+ and \d+/
describe  ZABOJCASPAMU_AGRIBASIC         Spam z tematem w stylu Agru basic...
score     ZABOJCASPAMU_AGRIBASIC         10

# ZWYCIĘSKA metoda – baw sie i zarabiaj duzo!
# https://zabojcaspamu.pl/zwycieska-metoda-baw-sie-i-zarabiaj-duzo/
uri 	   ZABOJCASPAMU_JPELAZDESIGNS  /adk\.jpelaezdesigns\.com/
describe   ZABOJCASPAMU_JPELAZDESIGNS spam z jpelaezdesigns
score      ZABOJCASPAMU_JPELAZDESIGNS 10

# Regula Regul 
#https://zabojcaspamu.pl/regula-regul-czyli-matka-regul-czyli-ustawa-z-lipca/
body       __ZABOJCASPAMU_USTAWA_I_1  /staw.{1,6} z dnia 18 lipca 2002/
body       __ZABOJCASPAMU_USTAWA_I_2  /(staw.{1,8}|w my.{1,8}l przepis.{1,8}ow) o .{1,8}wiadczeniu (u|U)s.{1,8}ug (d|D)rog.{1,8} (e|E)lektroniczną/
meta       __ZABOJCASPAMU_USTAWA_I    __ZABOJCASPAMU_USTAWA_I_1 || __ZABOJCASPAMU_USTAWA_I_2

body      __ZABOJCASPAMU_USTAWA_II_1  /18\. ?07\. ?2002/
body      __ZABOJCASPAMU_USTAWA_II_2  /18 lipca 2002/
body      __ZABOJCASPAMU_USTAWA_II_3  /26\.08\.2002/
body      __ZABOJCASPAMU_USTAWA_II_4  /osiemnastego VII 2002/
body      __ZABOJCASPAMU_USTAWA_II_5  /osiemnastego lipca 2002/
body      __ZABOJCASPAMU_USTAWA_II_6  /18\-07\-2002/
body      __ZABOJCASPAMU_USTAWA_II_0  /wiadczeniu (U|u)s.{1,7}ug (D|d)rog.{1,7} (E|e)lektroniczn/
meta      __ZABOJCASPAMU_USTAWA_II    __ZABOJCASPAMU_USTAWA_II_0 && (__ZABOJCASPAMU_USTAWA_II_1 || __ZABOJCASPAMU_USTAWA_II_2 ||  __ZABOJCASPAMU_USTAWA_II_3 || __ZABOJCASPAMU_USTAWA_II_4 || __ZABOJCASPAMU_USTAWA_II_5 || __ZABOJCASPAMU_USTAWA_II_6)

body      __ZABOJCASPAMU_DZU_01        /D\s*z\.\s*U\. z 2002\s*r(,|\.) nr 144 poz\.\s*1204/
body      __ZABOJCASPAMU_DZU_02        /D\s*z\.\s*U\.\s*(N|n)r\s*144(,?\s*poz\.\s*1204|z 2002)/
body      __ZABOJCASPAMU_DZU_03        /Dziennik Ustaw nr 144, poz 1204/
body      __ZABOJCASPAMU_DZU_04        /Dz\.\s*U\.\s*144 poz\.\s*1204/
body      __ZABOJCASPAMU_DZU_05        /Dz\. U\. z 2002 r\. nr 144 poz\. 1204/
body      __ZABOJCASPAMU_DZU_06        /Dz\.U\s*144 poz\s*.? 204/
body      __ZABOJCASPAMU_DZU_08        /zienik ustaw z 2002r\.? nr sto czterdzie.{1,8}ci cztery, pozycja tysi.{1,8}c dwie.{1,8}cie cztery/
body      __ZABOJCASPAMU_DZU_09        /Dz\. U\. 2002 144\.1204/
body      __ZABOJCASPAMU_DZU_10        /Dz\. U\. Nr 144 z 9 wrzesnia 2002 r\.\, poz\. 1204/
body      __ZABOJCASPAMU_DZU_11        /dnia 29 sierpnia 1997\s*r\. o ochronie danych/
body      __ZABOJCASPAMU_DZU_12        /Dz\.U\. z 2002 r\. Nr 144, poz\. 1204/
meta      __ZABOJCASPAMU_DZU144       (__ZABOJCASPAMU_DZU_01 || __ZABOJCASPAMU_DZU_02 || __ZABOJCASPAMU_DZU_03 || __ZABOJCASPAMU_DZU_04 || __ZABOJCASPAMU_DZU_05 || __ZABOJCASPAMU_DZU_06 || __ZABOJCASPAMU_DZU_07 || __ZABOJCASPAMU_DZU_08 || __ZABOJCASPAMU_DZU_09 || __ZABOJCASPAMU_DZU_10 || __ZABOJCASPAMU_DZU_11 || __ZABOJCASPAMU_DZU_12)

meta      ZABOJCASPAMU_USTAWAANTYSPAM    __ZABOJCASPAMU_USTAWA_I || __ZABOJCASPAMU_USTAWA_II || __ZABOJCASPAMU_DZU144
describe  ZABOJCASPAMU_USTAWAANTYSPAM    Ustawa 18.07.2002 lub DzU 144 (ustawa antyspam)
score     ZABOJCASPAMU_USTAWAANTYSPAM    10
 
# Wzmocnienei regul
# https://zabojcaspamu.pl/wsmocnienie-regul/
meta     ZABOJCASPAMU_TWO_REDDCC ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR)
describe ZABOJCASPAMU_TWO_REDDCC ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR)
score    ZABOJCASPAMU_TWO_REDDCC 2

header    __ZABOJCASPAMU_SPF_REQ_2_1  From:addr=~/(dhl\.com|dhl\.pl|poczta\-polska\.pl|inpost\.pl|paczkomaty\.pl)/
header    __ZABOJCASPAMU_SPF_REQ_2_2   ALL=~/(spf|SPF)(=|:) *pass.+\@(dhl\.com|dhl\.pl|poczta\-polska\.pl|inpost\.pl|paczkomaty\.pl)/
meta      ZABOJCASPAMU_SPF_REQ_2    __ZABOJCASPAMU_SPF_REQ_2_1 && ! __ZABOJCASPAMU_SPF_REQ_2_2
describe  ZABOJCASPAMU_SPF_REQ_2 Wymagane SPF dla domen
score     ZABOJCASPAMU_SPF_REQ_2 5

#kampanie reklampowe
uri       ZABOJCASPAMU_KOMPANIE_REKLAMOWE /(news\.chilimail\.pl|interactive\-partners\.me|olix\-polska\.com|instytut\-marketingu\.com|kompass\.com|supermarketf\.nazwa\.pl|snd24\.com\.pl|augustnews1\.com|readersdigest\.mailnews\.pl|mediamail24\.pl|greensender\.pl|\.gwdeliver.com|\.campaignmail\.pl|freshmail\.pl|readersdigest\.mailnews\.pl|net-mailto\.pl|mail-serwis\.pl|mailtpro\.pl|winimail\.pl|link-outer\.com)/
describe  ZABOJCASPAMU_KOMPANIE_REKLAMOWE Zawiera linki do firm kompanii reklamowych i masowych  mailingow
score     ZABOJCASPAMU_KOMPANIE_REKLAMOWE 2

# fajny pomysl ktory nie dziala
# https://zabojcaspamu.pl/fajny-pomysl-ktory-dziala/
header    __ZABOJCASPAMU_FAKE_FROM_1 From=~/[\w+.-]+\@([\w.-]+\.\w\w+)["'`\s]*<\s*[\w+.-]+\@\1>/
header    __ZABOJCASPAMU_FAKE_FROM_2 From=~/\@(.+?)"? +<.+>/
meta      ZABOJCASPAMU_FAKE_FROM     __ZABOJCASPAMU_FAKE_FROM_2 && !__ZABOJCASPAMU_FAKE_FROM_1
describe  ZABOJCASPAMU_FAKE_FROM     Pomieszanie z domenami w polu From
score     ZABOJCASPAMU_FAKE_FROM     0.1

# Podszywanie sie pod PKO BP.
# https://zabojcaspamu.pl/podszywanie-sie-pko-bp/
header    __ZABOJCASPAMU_PKOBP_FAKE_FROM1  From=~/PKO Bank Polski/
header    __ZABOJCASPAMU_PKOBP_FAKE_FROM2  From:addr=~/\@(ipko\.pl|pkobp\.pl)$/
meta      ZABOJCASPAMU_PKOBP_FAKE          __ZABOJCASPAMU_PKOBP_FAKE_FROM1 && !__ZABOJCASPAMU_PKOBP_FAKE_FROM2

# Payment details
# https://zabojcaspamu.pl/payment-details/
mimeheader ZABOJCASPAMU_PAYMENT_DETAILS_ZIP Content-Type =~ /payment_details_\d\d\d\d\d\d.zip/
describe   ZABOJCASPAMU_PAYMENT_DETAILS_ZIP Mail z payment details zip
score      ZABOJCASPAMU_PAYMENT_DETAILS_ZIP 0.1
describe  ZABOJCASPAMU_PKOBP_FAKE          Ktos sie pdoszywa pod pkobb
score     ZABOJCASPAMU_PKOBP_FAKE          5.0

# Sprawdzanei domen czy maja DKIM
# https://zabojcaspamu.pl/sprawdzanie-podpisania-wiadomosci-dkimem/
ifplugin Mail::SpamAssassin::Plugin::DKIM
  header __ZABOJCASPAMU_DOMAIN_MUST_HAVE_DKIM_FROM  from:addr=~/\@(yahoo\.com|firma\.interia\.pl|facebookmail\.com|visa\.com|olx\.pl|interia\.pl|interia\.eu|wp\.pl|gmail\.com|pl\.orange\.com|sodexo\.com|poczta-polska\.pl|allegro\.pl)$/
  meta   ZABOJCASPAMU_DOMAIN_MUST_HAVE_DKIM  __LOCAL_DOMAIN_MUST_HAVE_DKIM_FROM && !DKIM_SIGNED && !DKIM_VALID
  score  ZABOJCASPAMU_DOMAIN_MUST_HAVE_DKIM  0.1
endif

header     ZABOJCASPAMU_PRZESYLKA_NIE_DOSTARCZONA  Subject=~/[A-Z]{2}\d+PL (przesylka nie zostala dostarczona do ciebie|Przesylka nie moze zostac dostarczona)/
describe   ZABOJCASPAMU_PRZESYLKA_NIE_DOSTARCZONA  Ransomware na poczte Polska
score      ZABOJCASPAMU_PRZESYLKA_NIE_DOSTARCZONA  10

# Ataki na Banki
# https://zabojcaspamu.pl/ataki-banki-male-podsumowanie/
header  __ZABOJCASPAMU_ATAKI_NA_BANKI_BLOKADA Subject=~/^(Blokada|Weryfikacja|Autoryzacja)/
header __ZABOJCASPAMU_ATAKI_NA_BANKI_BANKI Subject=~/^(Blokada|Weryfikacja|Autoryzacja|Nowa wiadomosc)/
header __ZABOJCASPAMU_ATAKI_NA_BANKI_XMAILER X-Mailer=~ /Microsoft Outlook Express 6\.00\./
meta    ZABOJCASPAMU_ATAKI_NA_BANKI __ZABOJCASPAMU_ATAKI_NA_BANKI_BLOKADA && __ZABOJCASPAMU_ATAKI_NA_BANKI_BANKI  &&__ZABOJCASPAMU_ATAKI_NA_BANKI_XMAILER && ZABOJCASPAMU_MSID_NODOT
describe ZABOJCASPAMU_ATAKI_NA_BANKI  Próba taki na banki 
score ZABOJCASPAMU_ATAKI_NA_BANKI  10

#maile ze Stuff
# https://zabojcaspamu.pl/wysyp-maili-ze-stuff-ze-dla/
header    __ZABOJCASPAMU_TO_TOO_MANY_STUFFv1  To =~ /(?:,[^,]{1,80}){3}/
header    __ZABOJCASPAMU_STUFFv1_SUBJECT1      Subject=~/ stuff/
header    __ZABOJCASPAMU_STUFFv1_SUBJECT2      Subject=~/(cool|useful|new|found|great)/
meta      ZABOJCASPAMU_STUFFv1                __ZABOJCASPAMU_TO_TOO_MANY_STUFFv1 && __ZABOJCASPAMU_STUFFv1_SUBJECT1 && __ZABOJCASPAMU_STUFFv1_SUBJECT2
describe  ZABOJCASPAMU_STUFFv1                Wiadomosc stuff
score     ZABOJCASPAMU_STUFFv1                10

# Cos jest wspaniale
# https://zabojcaspamu.pl/kolejne-serie-maili/

rawbody   __ZABOJCASPAMU_FORYOUONLYv1_1          /urn:schemas-microsoft-com:vml/
rawbody   __ZABOJCASPAMU_FORYOUONLYv1_2          /font\-family:\"Cambria Math\"/
rawbody   __ZABOJCASPAMU_FORYOUONLYv1_3          /font\-family\:Calibri\;/
rawbody   __ZABOJCASPAMU_FORYOUONLYv1_4          /margin\:2\.0cm 42\.5pt 2.0cm 3\.0cm;/
rawbody   __ZABOJCASPAMU_FORYOUONLYv1_5          /color:\#0563C1;/
header    __ZABOJCASPAMU_FORYOUONLYv1_TOO_MANY   To =~ /(?:,[^,]{1,80}){3}/
meta      ZABOJCASPAMU_FORYOUONLYv1                __ZABOJCASPAMU_FORYOUONLYv1_1 &&  __ZABOJCASPAMU_FORYOUONLYv1_2 &&  __ZABOJCASPAMU_FORYOUONLYv1_3 &&  __ZABOJCASPAMU_FORYOUONLYv1_4 &&  __ZABOJCASPAMU_FORYOUONLYv1_5 && __ZABOJCASPAMU_FORYOUONLYv1_TOO_MANY
describe  ZABOJCASPAMU_FORYOUONLYv1   Wiadomosci ze tylko dla ciebie i takie tam
score     ZABOJCASPAMU_FORYOUONLYv1   10

# Wysyp maili ze skryptami VBS INVOICE
# https://zabojcaspamu.pl/wysyp-maili-ze-skryptami-vbs-invoice/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        mimeheader ZABOJCASPAMU_INVOICE_VBS Content-Type =~  /(INVOICE_\d+_[a-z.-]+|[a-z.-]+_INVOICE\d+)\.zip/
        describe   ZABOJCASPAMU_INVOICE_VBS Mail z INVOICE
        score      ZABOJCASPAMU_INVOICE_VBS 10
endif

# Maile z zalacznikiem CONTRACT
# https://zabojcaspamu.pl/maile-zalacznikiem-contract/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        mimeheader ZABOJCASPAMU_CONTRACT_VBS Content-Type =~ /CONTRACT_\d+_[a-z].zip/
        describe   ZABOJCASPAMU_CONTRACT_VBS Mail z CONTRACT
        score      ZABOJCASPAMU_CONTRACT_VBS 10
endif

# https://zabojcaspamu.pl/maile-z-pge/
# Maile z PGE, proba wymuszenia
header   ZABOJCASPAMU_EFAKTURA_ZA_ENERGIE       Subject =~ /aktura za energie elektryczna \d{10}/
describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIE      Szyfrowanie plikow na fakture https://zaufanatrzeciastrona.pl/post/uwaga-na-falszywe-faktury-za-energi e-elektryczna-od-pge/
score    ZABOJCASPAMU_EFAKTURA_ZA_ENERGIE      10

# Faktury z PGE sprawdzanie adresu nadawcy
# https://zabojcaspamu.pl/faktury-pge-sprawdzanie-adresu-nadawcy/
header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2_1  From=~/(PGE\-eBOK|Faktura PGE|PGE eBOK|eBOK PGE|gkpge\.pl eBOK)/
header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2_2  From:addr=~/pge-efaktura\@bluemedia.pl/
meta      ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2      __LOCAL_EFAKTURA_ZA_ENERGIEv2_1 && ! __LOCAL_EFAKTURA_ZA_ENERGIEv2_2
describe  ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2      Falszywa faktura za energie elektryczna
score     ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2      15

header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_1  From=~/PGE/
header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_2  Subject=~/\d{10}/
header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_3  X-Mailer=~/(Microsoft Windows Live Mail|Microsoft Outlook Express 6\.00)/
header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_4  From:addr=~/pge-efaktura\@bluemedia.pl/
meta      ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3   __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_1 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_2 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_3 && ! __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_4
describe  ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3      faktura niby za energie elektryczna
score     ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3      10


header   __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_FAK  Subject=~/ fakture/
header   __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_DIGIT Subject=~/\d{6,10}/
meta     ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI     __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_FAK &&  __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_DIGIT && ZABOJCASPAMUPART_IN_SUBJECT && DATE_IN_FUTURE_06_12
describe ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI  Przpomnienie o platnosci
score    ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI  10

#Uruchomienie kredytu gotowkowego
header   __ZABOJCASPAMU_PRZYZNANIE_KREDYTU_1 Subject=~/ruchomienie kredytu gotowkowego/
header   __ZABOJCASPAMU_PRZYZNANIE_KREDYTU_2 From=~/Kamil Wurst/
meta     ZABOJCASPAMU_PRZYZNANIE_KREDYTU  __ZABOJCASPAMU_PRZYZNANIE_KREDYTU_1 && __ZABOJCASPAMU_PRZYZNANIE_KREDYTU_2
describe ZABOJCASPAMU_PRZYZNANIE_KREDYTU  Przyznanie kredytu
score    ZABOJCASPAMU_PRZYZNANIE_KREDYTU  10

# maile z przyszlosci
meta     ZABOJCASPAMU_DATE_IN_FUTURE  DATE_IN_FUTURE_03_06 || DATE_IN_FUTURE_03_06 ||DATE_IN_FUTURE_06_12 ||DATE_IN_FUTURE_12_24 ||DATE_IN_FUTURE_24_48 ||DATE_IN_FUTURE_48_96 ||DATE_IN_FUTURE_96_XX
describe ZABOJCASPAMU_DATE_IN_FUTURE Sprawdza czy wystapila jakas DATE_IN_FUTURE
score    ZABOJCASPAMU_DATE_IN_FUTURE 0.01

header   __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_1 From=~/PGE/
header   __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_2 Subject=~/\d{10}/
body     __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_3 /PGE eFaktura za energi.{1,8} elektryczn.{1,8}/
header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_4 From:addr=~/pge-efaktura\@bluemedia.pl/
meta     ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4      __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_1 &&  __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_2 &&  __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_3 &&  !__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_4
describe  ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4    Spam PGE faktura v4
score     ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4    5

#Faktury PGE wersja nr 5
header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_1 From=~/PGE/
body      __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_2 /obacz szczeg.{8,10}ow.{6,8} faktur/
rawbody   __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_3 /\#f48628/
header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_4 From:addr=~/pge-efaktura\@bluemedia.pl/
meta      ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5 __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_1 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_2 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_3 && !__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_4
describe  ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5   PGE faktura v5
score    ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5    10

#Wczorajszy wysyp PGE czyli ver 6
header  __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6_1 Subject=~/PGE/
header  __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6_2 From:addr=~/pge-efaktura\@bluemedia.pl/
meta   ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6 __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6_1 && !__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6_2
describe  ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6   PGE faktura v6
score     ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6 10

header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7_1 Subject=~/PGE/
header    __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7_2 From=~/PGE/
meta      ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7 (__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7_1 || __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7_2) && (DCC_CHECK || PYZOR_CHECK)
describe  ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7   PGE faktura v7
score     ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7 10

header  __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_1 Subject=~/PGE/
header  __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_2 From=~/PGE/
header  __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_3 From:addr=~/pge-efaktura\@bluemedia.pl/
meta    ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8 (__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_1 || __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_2) && !__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_3
describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8 PGE faktura v8
score    ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8 10

# Niemieccy naukowcy
# https://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/
body __ZABOJCASPAMU_GIELDA_20160722_1  /\[ http:\/\/[0-9a-z.-]+\/[0-9a-z\/]+\.php\?[a-z]=\d+\&[^\s]+\s\]/
body __ZABOJCASPAMU_GIELDA_20160722_2  /ztuczn.{1,6} inteligencj|czlowiek .{1,6}pi|rogram zrobi wszystko|nwestuj.{1,6}c|owiedz si.{1,6} i zacznij|iemieccy matematycy |iemieccy uczeni|kt.{1,6}ry handluje|na gie.{1,6}dzie|rynek gie.{1,6}dowy|wszystko sam|pa niemieckich|zarabia pieniadze|bedzie zabroniony|niemieckich uczon|BankBot/
meta  ZABOJCASPAMU_GIELDA_20160722  __ZABOJCASPAMU_GIELDA_20160722_1 && __ZABOJCASPAMU_GIELDA_20160722_2
describe ZABOJCASPAMU_GIELDA_20160722 Zarabiane na gieldzie, niemieccy uczeni https://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/
score    ZABOJCASPAMU_GIELDA_20160722 10

body     ZABOJCASPAMU_GIELDA_20160724  /\[ https:\/\/[0-9a-z.-]+\/[0-9a-z\/]+\.php\?[a-z]=\d\d\d(\&[a-zA-Z0-9]+\=[a-zA-Z0-9]+){3} \]/
describe ZABOJCASPAMU_GIELDA_20160724 Gielda ,zarabianie,niemieccy uczeni https://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/
score    ZABOJCASPAMU_GIELDA_20160724   7

rawbody   __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_1          /urn:schemas-microsoft-com:vml/
rawbody   __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_2          /font\-family:\"Cambria Math\"/
rawbody   __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_3          /font\-family\:Calibri\;/
rawbody   __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_4          /margin\:2\.0cm 42\.5pt 2.0cm 3\.0cm;/
rawbody   __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_5          /size\:612\.0pt 792\.0pt/
meta      ZABOJCASPAMU_UNIVERSAL_HTMLv20160728              __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_1 &&  __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_2 &&  __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_3 &&  __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_4 &&   __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_5
describe  ZABOJCASPAMU_UNIVERSAL_HTMLv20160728   Wiadomosci generowane https://zabojcaspamu.pl
score     ZABOJCASPAMU_UNIVERSAL_HTMLv20160728   15

# Podziekowania itd
# https://zabojcaspamu.pl/regula-spam-gratulacjami/
header    __ZABOJCASPAMU_SA_20160728_1       From=~/[A-Z]/
header    __ZABOJCASPAMU_SA_20160728_2       To =~ /(?:,[^,]{1,80}){2}/
rawbody   __ZABOJCASPAMU_SA_20160728_3       /\d\d\d+$/
meta      ZABOJCASPAMU_SA_20160728          ! __ZABOJCASPAMU_SA_20160728_1 &&  __ZABOJCASPAMU_SA_20160728_2 &&  __ZABOJCASPAMU_SA_20160728_3
describe  ZABOJCASPAMU_SA_20160728          Spam z linkiem, ze interesujace rzeczy https://zabojcaspamu.pl/regula-spam-gratulacjami/
score     ZABOJCASPAMU_SA_20160728          15

#https://zabojcaspamu.pl/strzalki-adres-www/
body     ZABOJCASPAMU_ARROWHTTP            /==> http\:\/\//
describe ZABOJCASPAMU_ARROWHTTP            URL postaci ==> http
score    ZABOJCASPAMU_ARROWHTTP            1

#Maile z Baby Boobs
header   ZABOJCASPAMU_FROMBABYBOOBS        From=~/Baby Boobs/
describe ZABOJCASPAMU_FROMBABYBOOBS        maile w polu From ma baby Boobs
score    ZABOJCASPAMU_FROMBABYBOOBS        10

# https://zabojcaspamu.pl/polaczenie-dwoch-regul/
meta     ZABOJCASPAMU_ARROWHTTP3FRAZY       ZABOJCASPAMU_ARROWHTTP && ZABOJCASPAMU_LINK_3FRAZY
describe ZABOJCASPAMU_ARROWHTTP3FRAZY       Wystapienie reguly https://zabojcaspamu.pl/polaczenie-dwoch-regul/

# https://zabojcaspamu.pl/chorwacja-spam-nia-zwiazany/
header   __ZABOJCASPAMU_CHORWAv1_1    From:addr=~/chorwa[a-z]{8,10}\@/
header   __ZABOJCASPAMU_CHORWAv1_2    From=~/Chorwacja/
meta     ZABOJCASPAMU_CHORWAv1       __ZABOJCASPAMU_CHORWAv1_1 && __ZABOJCASPAMU_CHORWAv1_2
score    ZABOJCASPAMU_CHORWAv1       3

# https://zabojcaspamu.pl/maile-zalacznikiem-zip/
meta     ZABOJCASPAMU_ZIP_RATWARE  (RATWARE_MS_HASH || RATWARE_OUTLOOK_NONAME) && ZABOJCASPAMU_DATE_IN_FUTURE
describe ZABOJCASPAMU_ZIP_RATWARE  ratware
score    ZABOJCASPAMU_ZIP_RATWARE 10

# https://zabojcaspamu.pl/regula-spam-gratulacjami/
header    __ZABOJCASPAMU_SA_20160728_1       From=~/[A-Z]/
header    __ZABOJCASPAMU_SA_20160728_2       To =~ /(?:,[^,]{1,80}){2}/
rawbody      __ZABOJCASPAMU_SA_20160728_3       /\d\d\d+$/
meta      ZABOJCASPAMU_SA_20160728          ! __ZABOJCASPAMU_SA_20160728_1 &&  __ZABOJCASPAMU_SA_20160728_2 &&  __ZABOJCASPAMU_SA_20160728_3

# https://zabojcaspamu.pl/stara-regula-mailware/
uri       EXPERIMENTAL_URI_MALWARE_BH      /\.\w{2,4}\/[\d\w]{8}\/index\.html/i
describe  EXPERIMENTAL_URI_MALWARE_BH      Possible BlackHole malware links / phishing
score     EXPERIMENTAL_URI_MALWARE_BH      1.0       # limit
describe  ZABOJCASPAMU_SA_20160728          Spam z linkiem, ze interesujace rzeczy
score     ZABOJCASPAMU_SA_20160728          15
score     ZABOJCASPAMU_ZIP_RATWARE          10
describe  ZABOJCASPAMU_CHORWAv1             Mail z loginem chorwa....wczasy w Chorwacji
score     ZABOJCASPAMU_ARROWHTTP3FRAZY      5

# https://zabojcaspamu.pl/neworder-resend-nowy-spam/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
  header     __ZABOJCASPAMU_NEWORDERv1_1 Subject=~/New Order/
  mimeheader __ZABOJCASPAMU_NEWORDERv1_2 Content-Type =~ /ORDER\.rar/
  header     __ZABOJCASPAMU_NEWORDERv1_3 Subject=~/RESEND/
  meta       ZABOJCASPAMU_NEWORDERv1   __ZABOJCASPAMU_NEWORDERv1_1 &&  __ZABOJCASPAMU_NEWORDERv1_2 && __ZABOJCASPAMU_NEWORDERv1_3
  describe   ZABOJCASPAMU_NEWORDERv1   Plik z ORDER.rar i RESEND
  score      ZABOJCASPAMU_NEWORDERv1   10
endif

# https://zabojcaspamu.pl/spam-tematem-invoice/
header   ZABOJCASPAMU_INVOICEDIGIT   Subject=~/Invoice \d+/
describe ZABOJCASPAMU_INVOICEDIGIT   Invoice i cyfry
score     ZABOJCASPAMU_INVOICEDIGIT  2

# https://zabojcaspamu.pl/order-kind-reminder/
header     ORDERKINDREMINDER  Subject=~/ORDER KIND REMINDER/
describe ORDERKINDREMINDER Pliki z tematem ORDER KIND REMINDER
score        ORDERKINDREMINDER  10

# https://zabojcaspamu.pl/spam-typu-from-russia-with-love/
header  __RUSSIANWITHLOVE_1 Subject=~/^\(/
header  __RUSSIANWITHLOVE_2 Subject=~/\) /
rawbody __RUSSIANWITHLOVE_3 /arial\" color=\"\#333333/
meta    RUSSIANWITHLOVE  __RUSSIANWITHLOVE_1 && __RUSSIANWITHLOVE_2 && __RUSSIANWITHLOVE_3
describe RUSSIANWITHLOVE Wiadomosci z loginem w nawiasie
score   RUSSIANWITHLOVE  5

#falszywe faktury PLAYa
#https://zabojcaspamu.pl/falszywe-faktury-play/
header __PLAY_20161005_1  Subject=~/Play\s+ID\:[A-Z]{3}\d+/
header __PLAY_20161005_2  From=~/Play24/
header __PLAY_20161005_3  From:addr=~/\.pl$/
meta   PLAY_20161005  __PLAY_20161005_1 && __PLAY_20161005_2 && !__PLAY_20161005_3
describe PLAY_20161005  Falszywe faktury play

# falszywe faktury PLAYa
# https://zabojcaspamu.pl/play-nowa-wersja/
header __PLAY_20161005v2_1  Subject=~/Play\s+ID\:[A-Z]{3}\d+/
header __PLAY_20161005v2_2  From=~/Play Faktura/
header __PLAY_20161005v2_3  From:addr=~/\.pl$/
meta   PLAY_20161005v2  __PLAY_20161005v2_1 && __PLAY_20161005v2_2 && !__PLAY_20161005v2_3


#beC Messenger – wysylka spamu
#https://zabojcaspamu.pl/bec-messenger-wysylka-spamu/
header       ZABOJCASPAMU_XM_EC_MESSENGER         X-Mailer =~ /\beC-Messenger\b/
describe     ZABOJCASPAMU_XM_EC_MESSENGER         eC-Messenger bulk mail service
score        ZABOJCASPAMU_XM_EC_MESSENGER         2

#Odmowa w w tresci maila
#https://zabojcaspamu.pl/odmowa-tresci-maila/
body     ZABOJCASPAMU_MAIL_ODMOWA /(?:z \"ODMOWA\" w|o temacie \"Rezygnacja\"|z tematem \" Rezygnacja \|odpisa.{1,8} USU.{1,8}\")/
describe ZABOJCASPAMU_MAIL_ODMOWA Zawiera fraze 'ODMOWA/rezygnacja/Nie w kontekscie maila'
score    ZABOJCASPAMU_MAIL_ODMOWA 3

#Duzo znakow niealfanumerycznych w loginie maila
#https://zabojcaspamu.pl/duzo-znakow-niealfanumerycznych-loginie-maila/
header   ZABOJCASPAMU_MANY_NOALPHA_LOGIN  From:addr =~ /[\-\_].+[\-\_].+\@/
describe ZABOJCASPAMU_MANY_NOALPHA_LOGIN  From: many sign non alphanumeric in login
score    ZABOJCASPAMU_MANY_NOALPHA_LOGIN  0.2

#Falszywe faktury z Playa
#https://zabojcaspamu.pl/falszywe-faktury-playa/
header   __PLAY_20161204_1              Reply-To=~/play4\.pl/
header   __PLAY_20161204_2              Subject=~/Twoja nowa faktura za telefon [A-Z]{3}\d{10}/
meta     ZABOJCASPAMU_PLAY_20161204     __PLAY_20161204_1 && __PLAY_20161204_2
describe ZABOJCASPAMU_PLAY_20161204     falszywe fakture 2016-12-03
score    ZABOJCASPAMU_PLAY_20161204     5

#Doc podwojnie zzipowany
#https://zabojcaspamu.pl/doc-podwojnie-zzipowany/
mimeheader ZABOJCASPAMU_MONEY_20161219 Content-Type =~ /MONEY-\d\d\d\d\d\d\d\.zip/
describe   ZABOJCASPAMU_MONEY_20161219 Mail z money zip
score      ZABOJCASPAMU_MONEY_20161219  10
describe PLAY_20161005v2  Falszywe faktury play
score    PLAY_20161005v2 10
score    PLAY_20161005   10

#najpopularniejsze slowa w tematach
#https://zabojcaspamu.pl/najpopularniejsze-slowa-tematach-spamu/
header ZABOJCASPAMU_POPWORDS_SUBJ Subject=~/(?:sprawd.{1,8}| wyprzeda.{1,8}| stuff | weso.{1,8}ych | happy | oferta | podaru j wypr.{1,8}buj | orgazm | taniej | darmowa)/
describe ZABOJCASPAMU_POPWORDS_SUBJ najpopularniejsze slowa  wtematach ze spamem
score ZABOJCASPAMU_POPWORDS_SUBJ 0.5

# Temat ktory na poczatku ma nawias.
# https://zabojcaspamu.pl/temat-ktory-poczatku-nawias/
header   ZABOJCASPAMU_TEMAT_NAWIAS    Subject=~/^\([a-z]+\) /
describe ZABOJCASPAMU_TEMAT_NAWIAS    temat zaczyna sie od nawiasu 
score    ZABOJCASPAMU_TEMAT_NAWIAS    0.5

# Kolejna regula wzmacniajaca
# https://zabojcaspamu.pl/kolejna-regula-wzmacniajaca-3/
meta     ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE)
describe ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE)
score    ZABOJCASPAMU_TWO_5358  0.5

# Zarabianie pieniedzy w prosty sposob
# https://zabojcaspamu.pl/zarabianie-pieniedzy-prosty-sposob/

header  __ZABOJCASPAMU_ZARABIANIE_DZIECKO_1  Subject=~/^Re:/
rawbody __ZABOJCASPAMU_ZARABIANIE_DZIECKO_2  /\<\!-- NAME: 1 COLUMN --\>/
rawbody __ZABOJCASPAMU_ZARABIANIE_DZIECKO_3  /\<\!--\[if gte mso 15\]\>/
rawbody __ZABOJCASPAMU_ZARABIANIE_DZIECKO_4  /color:\#202020;/
rawbody __ZABOJCASPAMU_ZARABIANIE_DZIECKO_5  /border-bottom:2px solid \#EAEAEA;/
meta    ZABOJCASPAMU_ZARABIANIE_DZIECKO        __ZABOJCASPAMU_ZARABIANIE_DZIECKO_2  &&  __ZABOJCASPAMU_ZARABIANIE_DZIECKO_3 && __ZABOJCASPAMU_ZARABIANIE_DZIECKO_4 && __ZABOJCASPAMU_ZARABIANIE_DZIECKO_5
describe ZABOJCASPAMU_ZARABIANIE_DZIECKO    https://zabojcaspamu.pl/zarabianie-pieniedzy-prosty-sposob/
score    ZABOJCASPAMU_ZARABIANIE_DZIECKO    10

# zarabianie sposob nr 2
# https://zabojcaspamu.pl/zarabianie-pieniedzy-sposob-nr-2/
rawbody  ZABOJCASPAMU_ZARABIANIE_URL2IMG    /http:\/\/img\d+\.uploadhouse\.com\/fileuploads/
describe ZABOJCASPAMU_ZARABIANIE_URL2IMG    https://zabojcaspamu.pl/zarabianie-pieniedzy-sposob-nr-2/
score    ZABOJCASPAMU_ZARABIANIE_URL2IMG    5

# Falszywe informacje z FB
# https://zabojcaspamu.pl/falszywe-informacje-fb/
header   __ZABOJCASPAMU_FAKE_FACEBOOK_1     From=~/^[\s"]*Facebook/
header   __ZABOJCASPAMU_FAKE_FACEBOOK_2     From:addr=~/facebookmail\.com/
meta     ZABOJCASPAMU_FAKE_FACEBOOK         __ZABOJCASPAMU_FAKE_FACEBOOK_1 && !__ZABOJCASPAMU_FAKE_FACEBOOK_2
describe ZABOJCASPAMU_FAKE_FACEBOOK         Mozliwy facebook spoofing
score    ZABOJCASPAMU_FAKE_FACEBOOK         1.5

# Potwierdzenie transakcji na PayU
# https://zabojcaspamu.pl/potwierdzenie-transakcji-payu/
header   __ZABOJCASPAMU_PAYU_FAKE_20170313_1  Subject=~/Payu - Potwierdzenie/
body     __ZABOJCASPAMU_PAYU_FAKE_20170313_2  /Numer transakcji: C B9BC XX835695707XX \(PL\)/
meta     ZABOJCASPAMU_PAYU_FAKE_20170313      __ZABOJCASPAMU_PAYU_FAKE_20170313_1 && __ZABOJCASPAMU_PAYU_FAKE_20170313_2
describe ZABOJCASPAMU_PAYU_FAKE_20170313     https://zabojcaspamu.pl/potwierdzenie-transakcji-payu/
score    ZABOJCASPAMU_PAYU_FAKE_20170313      10

# Falszywe informacje o platnosci PayU i Tpay
# https://zabojcaspamu.pl/falszywe-informacje-o-platnosci-payu-o-tpay/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        mimeheader ZABOJCASPAMU_FAKE_PAYU_CT Content-Type=~ /"Potwierdzenie .+? PDF\.js/
        mimeheader ZABOJCASPAMU_FAKE_TPAY_CT Content-Type=~ /_PDF\s+tpay\.com\.js/
        meta       ZABOJCASPAMU_FAKE_TPAY_PAYU ZABOJCASPAMU_FAKE_PAYU_CT || ZABOJCASPAMU_FAKE_TPAY_CT
        describe   ZABOJCASPAMU_FAKE_TPAY_PAYU https://zabojcaspamu.pl/falszywe-informacje-o-platnosci-payu-o-tpay/
        score      ZABOJCASPAMU_FAKE_TPAY_PAYU 10
endif

# Dowod zakupu do zamowienia
# https://zabojcaspamu.pl/dowod-zakupu-zamowienia/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        header     __ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE_SUB Subject =~/Dow.{1,8}d zakupu do zam.{1,8}wienia nr \d+/
        mimeheader __ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE_DOC Content-Type=~ /oryginal\-[a-f0-9]{8}\-[a-f0-9]{4}\-[a-f0-9]{4}\-[a-f0-9]{4}\-[a-f0-9]{12}\.doc/
        meta       ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE __ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE_SUB && __ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE_DOC
        describe   ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE Falszywy dowod zakupu
        score      ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE 10
endif

# PD: Brakujacy numer faktury
# https://zabojcaspamu.pl/pd-brakujacy-numer-faktury/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        header     __ZABOJCASPAMU_BRAKUJACAFAKTURA_SUB Subject =~/PD: Brakuj.{1,8}cy numer faktury/
        mimeheader __ZABOJCASPAMU_BRAKUJACAFAKTURA_DOC Content-Type=~ /\"\d+\.doc/
        rawbody    __ZABOJCASPAMU_BRAKUJACAFAKTURA_BODY /Nawi.{1,8}zuj.{1,8}c do rozmowy telefonicznej wysy.{1,8}am faktur.{1,8} z brakuj.{1,8}cym numerem\./
        meta       ZABOJCASPAMU_BRAKUJACAFAKTURA __ZABOJCASPAMU_BRAKUJACAFAKTURA_SUB && __ZABOJCASPAMU_BRAKUJACAFAKTURA_DOC && __ZABOJCASPAMU_BRAKUJACAFAKTURA_BODY
        describe   ZABOJCASPAMU_BRAKUJACAFAKTURA Info o brakujacej fakturze
        score      ZABOJCASPAMU_BRAKUJACAFAKTURA 10
endif

# Prosba o zaplate
#https://zabojcaspamu.pl/prosba-o-zaplate-nastepny-wysyp/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        header     __ZABOJCASPAMU_PROSBAOZAPLATE_SUB  Subject=~/Pro.{1,8}ba o zap.{1,8}at/
        mimeheader __ZABOJCASPAMU_PROSBAOZAPLATE_FILE Content-Type=~ /"FV-\d\d\d-2017.doc/
        meta       ZABOJCASPAMU_PROSBAOZAPLATE         __ZABOJCASPAMU_PROSBAOZAPLATE_SUB && __ZABOJCASPAMU_PROSBAOZAPLATE_FILE
        describe   ZABOJCASPAMU_PROSBAOZAPLATE        Prosba o zaplate
        score      ZABOJCASPAMU_PROSBAOZAPLATE         10
endif

# Przesylam fakture 
# https://zabojcaspamu.pl/prosba-o-zaplate/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        header     __ZABOJCASPAMU_PRZESYLAMFAKTURE_S  Subject=~/Przesy.{1,8}am faktur/
        mimeheader __ZABOJCASPAMU_PRZESYLAMFAKTURE_F  Content-Type=~ /"[0-9A-Z]{2}2017\.\d\d\-\d\d\.doc/
        meta       ZABOJCASPAMU_PRZESYLAMFAKTURE       __ZABOJCASPAMU_PRZESYLAMFAKTURE_S && __ZABOJCASPAMU_PRZESYLAMFAKTURE_F
        describe   ZABOJCASPAMU_PRZESYLAMFAKTURE      Prosba o zaplate faktury
        score      ZABOJCASPAMU_PRZESYLAMFAKTURE      10
endif

# reguła dla koliby
# https://zabojcaspamu.pl/ciekawy-przypadek-oooilo-pl/
rawbody  ZABOJCASPAMU_KOLIBA      /Ta wiadomo.{1,8} zosta.{1,8}a wys.{1,8}ana przez kolibe na zlecenie/
describe ZABOJCASPAMU_KOLIBA      Wysłane przez spamera kolibe
score    ZABOJCASPAMU_KOLIBA      5

# falszywe maile z inpost
# https://zabojcaspamu.pl/falszywe-przesylki-inpost/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        header     __ZABOJCASPAMU_INPOST_20170418_S  Subject=~/Kurier\. paczka kurierska/
        mimeheader __ZABOJCASPAMU_INPOST_20170418_C  Content-Type=~/application\/msword/
        meta       ZABOJCASPAMU_INPOST_20170418      __ZABOJCASPAMU_INPOST_20170418_S && __ZABOJCASPAMU_INPOST_20170418_C
        describe   ZABOJCASPAMU_INPOST_20170418      falszywa informacja o paczce inpost
        score      ZABOJCASPAMU_INPOST_20170418      10
endif
# Propozycje seksu
# https://zabojcaspamu.pl/propozycje-seksu/
uri    ZABOJCASPAMU_SEX_20170419       /\.php\?[a-z]=61&3SQwxoyu/
describe ZABOJCASPAMU_SEX_20170419     Podejrzany link z propozycjami seksu
score   ZABOJCASPAMU_SEX_20170419      10

# falszywe faktury Multidemia Polska
# https://zabojcaspamu.pl/falszywe-faktury-multimedia-polska/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        header     __ZABOJCASPAMU_MULTIMEDIA_FVAT_S  Subject=~/Nowa eFaktura dostepna w eBOK Multimedia Polska/
        mimeheader __ZABOJCASPAMU_MULTIMEDIA_FVAT_M  Content-Type=~/eFaktura-FVT_[A-Z]{3}_\d+_\d+\.7z/
        meta       ZABOJCASPAMU_MULTIMEDIA_FVAT      __LOCAL_MULTIMEDIA_FVAT_S && __LOCAL_MULTIMEDIA_FVAT_M
        describe   ZABOJCASPAMU_MULTIMEDIA_FVAT      falszywa faktura Multimedia Polska
        score      ZABOJCASPAMU_MULTIMEDIA_FVAT      10
endif

# Message ID z adresem ip
# https://zabojcaspamu.pl/message-id-adresem-ip-zamiast-hosta/
header  ZABOJCASPAMU_MESSAGEID_IP  Message-ID=~/\@\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}/
describe ZABOJCASPAMU_MESSAGEID_IP Message-ID zamiast hosta adres IP
score   ZABOJCASPAMU_MESSAGEID_IP  0.2

#Phish IP
# 
header ZABOJCASPAMU_IP_PHISH Received=~/149\.56\.201\.93/
describe ZABOJCASPAMU_IP_PHISH Phish z adresu ip 149.56.201.93
score ZABOJCASPAMU_IP_PHISH 10

#Rosyjski spam
# https://zabojcaspamu.pl/rosyjski-spam/
header        __ZABOJCASPAMU_User54377_1    From=~ /User\[54377\]/
header        __ZABOJCASPAMU_User54377_2    Reply-To=~ /User\[54377\]/
meta        ZABOJCASPAMU_User54377        __ZABOJCASPAMU_User54377_1 && __ZABOJCASPAMU_User54377_2
describe    ZABOJCASPAMU_User54377        Spam User54377
score        ZABOJCASPAMU_User54377        10

#falszywe fakury Plusnet
# https://zabojcaspamu.pl/falszywe-faktury-plusnet/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
        header     __ZABOJCASPAMU_PLUSNET_FVAT_S  Subject=~/Faktura, zam.{1,8}wienie \d+/
        mimeheader __ZABOJCASPAMU_PLUSNET_FVAT_M  Content-Type=~/Faktura\d+\.doc/
        body       __ZABOJCASPAMU_PLUSNET_FVAT_B /Prosz.{1,8} o wystawienie faktury VAT za zam.{1,8}wienie \d+\. Nie zosta.{1,8}a ona za.{1,8}czona do przesy.{1,8}ki/i
        meta       ZABOJCASPAMU_PLUSNET_FVAT      __ZABOJCASPAMU_PLUSNET_FVAT_S && __ZABOJCASPAMU_PLUSNET_FVAT_M && __ZABOJCASPAMU_PLUSNET_FVAT_B
        describe   ZABOJCASPAMU_PLUSNET_FVAT      falszywa faktura Plusnet
        score      ZABOJCASPAMU_PLUSNET_FVAT      10
endif

#Spam bandycituska
# https://zabojcaspamu.pl/belkotliwy-spam/
rawbody  __ZABOJCASPAMU_BANDYCI_1  /font:11px sans-serif/
uri      __ZABOJCASPAMU_BANDYCI_2  /bandycituska\.pl/
meta     ZABOJCASPAMU_BANDYCI      __ZABOJCASPAMU_BANDYCI_1 && __ZABOJCASPAMU_BANDYCI_2
describe ZABOJCASPAMU_BANDYCI      Terie spiskowe ze strony bandycituska.pl
score    ZABOJCASPAMU_BANDYCI      5

#
# Spam z nacionale Niderlanden
# https://zabojcaspamu.pl/atak-podszywajacy-sie-polise-nationale-nederlanden/
ifplugin Mail::SpamAssassin::Plugin::MIMEHeader
   header     __ZABOJCASPAMU_POLISA_NN_S  Subject=~/^Polisa nr \d+/
   mimeheader __ZABOJCASPAMU_POLISA_NN_C  Content-Type=~ /Polisa nr \d+ PDF\.zip/
   meta       ZABOJCASPAMU_POLISA_NN  __ZABOJCASPAMU_POLISA_NN_S && __ZABOJCASPAMU_POLISA_NN_C
   describe   ZABOJCASPAMU_POLISA_NN  falszywe polisy z NN
   score      ZABOJCASPAMU_POLISA_NN  10
endif

#znaki graficzne na początku tematu
#https://zabojcaspamu.pl/znaki-graficzne-poczatku-tematu/
header __LOCAL_ZNAKIGRAFICZNE1 Subject:raw=~/=\?(UTF|utf)-8\?Q\?=E2=/
header __LOCAL_ZNAKIGRAFICZNE2 Subject:raw=~/=\?(UTF|utf)-8\?Q\?=F0=/
header __LOCAL_ZNAKIGRAFICZNE3 Subject:raw=~/=\?(UTF|utf)-8\?B\?4(p|q)/
meta   LOCAL_ZNAKIGRAFICZNE __LOCAL_ZNAKIGRAFICZNE1 || __LOCAL_ZNAKIGRAFICZNE2 || __LOCAL_ZNAKIGRAFICZNE3
describe LOCAL_ZNAKIGRAFICZNE Znak graficzny na poczatku tematu
score LOCAL_ZNAKIGRAFICZNE  2.0

#mail od administratora
# https://zabojcaspamu.pl/wazny-mail-administratora/
header   ZABOJCASPAMU_FROM_ADMINISTRATOR From=~/Administrator/
describe ZABOJCASPAMU_FROM_ADMINISTRATOR Mail od administratora? Nie sadze
score    ZABOJCASPAMU_FROM_ADMINISTRATOR 5

#Maile do recpients
# https://zabojcaspamu.pl/a-mailami-recipients/
header ZABOJCASPAMU_TO_RECIPIENTS To=~/Recipients /
describe ZABOJCASPAMU_TO_RECIPIENTS Mail do recpients
score ZABOJCASPAMU_TO_RECIPIENTS 1

#Piotr N i jego przesladowcy
# https://zabojcaspamu.pl/nawiedzony-spam-atakuje/
body  __ZABOJCASPAMU_PIOTRN_TORTURY1   / tortur/
body  __ZABOJCASPAMU_PIOTRN_TORTURY2   /pods.{1,8}uch/
body  __ZABOJCASPAMU_PIOTRN_TORTURY3   /Piotr(a|ze|owi|) Ni.{1,8}y.{1,8}sk/
meta  ZABOJCASPAMU_PIOTRN_TORTURY      __ZABOJCASPAMU_PIOTRN_TORTURY1 && __ZABOJCASPAMU_PIOTRN_TORTURY2 && __ZABOJCASPAMU_PIOTRN_TORTURY3
describe ZABOJCASPAMU_PIOTRN_TORTURY  O torturach Piotr N i takie tam
score    ZABOJCASPAMU_PIOTRN_TORTURY  5


header   ZABOJCASPAMU_SUBJECT_DARMO Subject=~/(?: darmo| gratis|bez op.{1,8}at)/
describe ZABOJCASPAMU_SUBJECT_DARMO W temacie znajduje sie ' darmo' 'gratis'
score    ZABOJCASPAMU_SUBJECT_DARMO 0.5

# temat ma minus i procenty
# https://zabojcaspamu.pl/temacie-minus-cyfry-procent/
header ZABOJCASPAMU_TEMATMINUSCYFRY Subject=~/\-\d+\%/
describe ZABOJCASPAMU_TEMATMINUSCYFRY W temacie -\d\d%
score ZABOJCASPAMU_TEMATMINUSCYFRY 0.4

#Dwa slowa w temacie wielkimi literami
#https://zabojcaspamu.pl/slowa-wielkimi-literami-temacie/
header ZABOJCASPAMU_2WORDS_UPP Subject=~/[A-Z]{2,}\s.*?[A-Z]{2,}/ 
describe ZABOJCASPAMU_2WORDS_UPP Dwa slowa WIELKIMI literami w temacie 
score ZABOJCASPAMU_2WORDS_UPP 0.5

#Temat sie konczy >>
# https://zabojcaspamu.pl/temat-sie-konczy-dwoma-znakami/
header ZABOJCASPAMU_SUBJ_END_2GT   Subject=~/>>$/
describe ZABOJCASPAMU_SUBJ_END_2GT Temat sie konczy dwoma >>
score ZABOJCASPAMU_SUBJ_END_2GT    0.3

#Mieszanie ? i !
# https://zabojcaspamu.pl/mieszanie-znakami-i/https://zabojcaspamu.pl/mieszanie-znakami-i/
header __ZABOJCASPAMU_SUBJ_QMARK_EMARK_1 Subject=~/!.{4,}!/
header __ZABOJCASPAMU_SUBJ_QMARK_EMARK_2 Subject=~/\?.{4,}\?/
header __ZABOJCASPAMU_SUBJ_QMARK_EMARK_3 Subject=~/!.{4,}\?/
header __ZABOJCASPAMU_SUBJ_QMARK_EMARK_4 Subject=~/\?.{4,}!/
meta   ZABOJCASPAMU_SUBJ_QMARK_EMARK   __ZABOJCASPAMU_SUBJ_QMARK_EMARK_1 || __ZABOJCASPAMU_SUBJ_QMARK_EMARK_2 || __ZABOJCASPAMU_SUBJ_QMARK_EMARK_3 || __ZABOJCASPAMU_SUBJ_QMARK_EMARK_4
describe ZABOJCASPAMU_SUBJ_QMARK_EMARK   ! i pozniej ? lub kombinacja
score    ZABOJCASPAMU_SUBJ_QMARK_EMARK   0.2

# uknown i prywatne
# https://zabojcaspamu.pl/regula-serwer-bez-revdns/
header ZABOJCASPAMU_FROM_UNKNOWN Received =~ /from .*\(unknown\s\[(?!192\.168)(?!10\.)(?!172\.(1[6-9]|2[0-9]|3[0-1]))/
describe  ZABOJCASPAMU_FROM_UNKNOWN Received from unknown
score  ZABOJCASPAMU_FROM_UNKNOWN 1.5

# wzmocnienie dla uribl
# http://zabojcaspamu.pl/uribl_blocked-dosc-fajny-rbl-czesc-2/
meta        ZABOJCASPAMU_LARGEFONT_URIBL ( ZABOJCASPAMU_LARGE_SIZE_FONT && URIBL_BLOCKED) 
describe ZABOJCASPAMU_LARGEFONT_URIBL ( ZABOJCASPAMU_LARGE_SIZE_FONT && URIBL_BLOCKED) 
score       ZABOJCASPAMU_LARGEFONT_URIBL 0.5

meta        ZABOJCASPAMU_LOGINLONG_URIBL ( ZABOJCASPAMU_RETURN_PATH_LOGIN_LONG && URIBL_BLOCKED) 
describe ZABOJCASPAMU_LOGINLONG_URIBL ( ZABOJCASPAMU_RETURN_PATH_LOGIN_LONG && URIBL_BLOCKED) 
score       ZABOJCASPAMU_LOGINLONG_URIBL 0.5

# Specyficzna budowa linku
meta	 ZABOJCASPAMU_3FRAZY_URIBL ( ZABOJCASPAMU_LINK_3FRAZY && URIBL_BLOCKED) 
describe ZABOJCASPAMU_3FRAZY_URIBL ( ZABOJCASPAMU_LINK_3FRAZY && URIBL_BLOCKED) 
score       ZABOJCASPAMU_3FRAZY_URIBL 0.5
uri ZABOJCASPAMU_LINK_3FRAZY /(\&[a-zA-Z0-9]+\=[a-zA-Z0-9]+){3}/
describe ZABOJCASPAMU_LINK_3FRAZY Link 3 frazy
score ZABOJCASPAMU_LINK_3FRAZY 0.01

#Dlugi temat maila 
header ZABOJCASPAMU_VERY_LONG_SUBJ Subject=~/.{100,}/
describe ZABOJCASPAMU_VERY_LONG_SUBJ Bardzo dlugi temat
score ZABOJCASPAMU_VERY_LONG_SUBJ 0.3

# Graficzny HIT w temacie maila
# https://zabojcaspamu.pl/graficzny-hit-temacie-maila/
header ZABOJCASPAMU_BLOCKI_TEMAT Subject:raw=~/=\?UTF-8\?B\?4paI4pag4paI/
describe ZABOJCASPAMU_BLOCKI_TEMAT Znak H w base64
score ZABOJCASPAMU_BLOCKI_TEMAT 2.0

header    ZABOJCASPAMU_UPPERCOLON_SUBJ  Subject=~/[A-Z]{3,}+:/
describe ZABOJCASPAMU_UPPERCOLON_SUBJ  Duze litery a potem dwukropek
score    ZABOJCASPAMU_UPPERCOLON_SUBJ  0.3

header   ZABOJCASPAMU_PIPE_SUBJ  Subject=~/\|/
describe ZABOJCASPAMU_PIPE_SUBJ  Pipe w temacie
score    ZABOJCASPAMU_PIPE_SUBJ  0.3

header ZABOJCASPAMU_MISSUS Received=~/from missus\d+\.[a-z]+\.(pl|eu)/
describe ZABOJCASPAMU_MISSUS Host wysyłający z missus 
score ZABOJCASPAMU_MISSUS 3


# Received spamer
header ZABOJCASPAMU_RECEIVED_SPAMER  Received=~/(\.einternetmarketing\.net|smtp\d+\.newofficing\.pl|smtp\d+\.specialclick\.pl|smtp\d+\.mailjoker\.pl|smtp\d+\.glassclick\.pl|smtp\d+.scpectrack.pl)/
describe ZABOJCASPAMU_RECEIVED_SPAMER Spamerskei serwery w received
score   ZABOJCASPAMU_RECEIVED_SPAMER  5

#jobtrade
uri      ZABOJCASPAMU_JOBTRADE  /info.jabtrade.pl\/app\/panel\/Redirect.aspx\?link_id=/
describe ZABOJCASPAMU_JOBTRADE  Link do usbubsribe jobtrade
score    ZABOJCASPAMU_JOBTRADE  5

# numerowany serwer smtp
header   ZABOJCASPAMU_SMTPNUMBER Received=~/from [a-zA-Z]+\d+\./
describe ZABOJCASPAMU_SMTPNUMBER Numerowany server smtp
score    ZABOJCASPAMU_SMTPNUMBER 0.01

# WIELKA LITERA i wykrzyknik
header   ZABOJCASPAMU_UPPDIS     Subject=~/[A-Z]!/
describe ZABOJCASPAMU_UPPDIS     WIELKA LITERA i wykrzyknik
score    ZABOJCASPAMU_UPPDIS     0.4

header   LOCAL_TO_KLIENT  To=~/(K|k)lient/
describe LOCAL_TO_KLIENT  W polu To: slowo klient
score    LOCAL_TO_KLIENT  0.5

header   LOCAL_TO_BIZNES  To=~/biznesowy/
describe LOCAL_TO_BIZNES  W polu To: slowo biznesowy
score    LOCAL_TO_BIZNES  0.3

# Mail w formacie UTF8
header LOCAL_SUBJECT_UTF8   Subject:raw=~/=\?(UTF|utf)-8\?/
describe LOCAL_SUBJECT_UTF8 temat jest w UTF8
score   LOCAL_SUBJECT_UTF8  0.001

# Mail w niby regionow
# https://zabojcaspamu.pl/ktos-sie-natrudzil-rejestrujac-spamerskie-smtp/
header   __ZABOJCASPAMU_NIBYREGION_RECEIVED1 Received =~ /from smtp\.[^.]+?\.[^.]+?\.pl/
header   __ZABOJCASPAMU_NIBYREGION_RECEIVED2 From=~/(?:bok|office|biuro)@/
meta     ZABOJCASPAMU_NIBYREGION_RECEIVED __ZABOJCASPAMU_NIBYREGION_RECEIVED1 && __ZABOJCASPAMU_NIBYREGION_RECEIVED2 && DKIM_SIGNED && HTML_MESSAGE
describe ZABOJCASPAMU_NIBYREGION_RECEIVED Spam wysylany przez niby regionalne servery
score    ZABOJCASPAMU_NIBYREGION_RECEIVED 0.7

 header ZABOJCASPAMU_FROM_VPS_OVH From=~/\@vps[0-9]{1,8}\.ovh\.net$/i 
 describe ZABOJCASPAMU_FROM_VPS_OVH From misconfigured VPS on ovh.net 
 score ZABOJCASPAMU_FROM_VPS_OVH 10

# Przypadkowy ciag znakow w From
# http://zabojcaspamu.pl/przypadkowy-ciag-znakow-loginie/
header   __ZABOJCASPAMU_RANDOM_STRING_1  From:addr =~ /[bcdfghjklmnprstwqz]{6}/
header   __ZABOJCASPAMU_RANDOM_STRING_2  From:addr =~ /[aeyioou]{6}/
meta     ZABOJCASPAMU_RANDOM_STRING  __ZABOJCASPAMU_RANDOM_STRING_1 || __ZABOJCASPAMU_RANDOM_STRING_2
describe ZABOJCASPAMU_RANDOM_STRING  Random string in address
score    ZABOJCASPAMU_RANDOM_STRING  0.4

# Dlugi ciąg samych malych liter
# http://zabojcaspamu.pl/dlugi-login-adresie/
header   ZABOJCASPAMU_LONG_LOGIN_IN_FROM From:addr =~ /[a-z]{15}/
describe ZABOJCASPAMU_LONG_LOGIN_IN_FROM Long at row [a-z]
score    ZABOJCASPAMU_LONG_LOGIN_IN_FROM 0.3

# Dlugi login i przypadkowy ciag znaków
# http://zabojcaspamu.pl/dlugi-login-przypadkowy-ciag-znakow/
meta     ZABOJCASPAMU_RANDOM_LONG_FROM ZABOJCASPAMU_RANDOM_STRING && (ZABOJCASPAMU_LONG_LOGIN_IN_FROM || HK_RANDOM_ENVFROM)
describe ZABOJCASPAMU_RANDOM_LONG_FROM Random and long From login
score    ZABOJCASPAMU_RANDOM_LONG_FROM 1.2

# Skracacze linkow
# https://zabojcaspamu.pl/skracacze-linkow/
uri_detail ZABOJCASPAMU_SERVICE_SHORT_URL domain =~ /^(1sl.pl|goo.gl|bitly.com|bit.ly|is.gd|tinyurl.com|ow.ly|buff.ly|bit.do|tiny.cc|shorturl.at|soo.gd|s2r.co|clicky.me|budurl.com|bc.vc|youtu.be|x.co)$/
describe ZABOJCASPAMU_SERVICE_SHORT_URL Service short urls for example goo.gl, bitly.com etc
score ZABOJCASPAMU_SERVICE_SHORT_URL 0.3

# Message-ID w formie pseudo IP
# http://zabojcaspamu.pl/message-id-w-formie-pseudo-ip/
 header ZABOJCASPAMU_MSID_LIKEIP Message-ID=~/\@\d+-\d+-\d+-\d+>$/
describe ZABOJCASPAMU_MSID_LIKEIP Message-ID Domena w Message-ID jak IP 1-2-3-4
score ZABOJCASPAMU_MSID_LIKEIP 1.5

# Grzybica, podlewanie, klimatyzator i inne badziewia
# http://zabojcaspamu.pl/grzybica-podlewanie-klimatyzator-i-inne-badziewia/
header   ZABOJCASPAMU_RECEIVED_COM  Received =~ /\.com /
describe ZABOJCASPAMU_RECEIVED_COM  Domain in received com
score    ZABOJCASPAMU_RECEIVED_COM  0.01

meta     ZABOJCASPAMU_NATARCZYWYSPAM_1 (ZABOJCASPAMU_RANDOM_STRING || HK_RANDOM_ENVFROM) && ZABOJCASPAMU_FROM_UNKNOWN && ZABOJCASPAMU_RECEIVED_COM
describe ZABOJCASPAMU_NATARCZYWYSPAM_1 Spam grzybica, detektor, klimatyzator ...(rodzaj 1)
score    ZABOJCASPAMU_NATARCZYWYSPAM_1 10

 uri      __URI_LINK_USUB_NATARCZYWY /ub\.php\?[a-z0-9]{3}=/
 meta     ZABOJCASPAMU_NATARCZYWYSPAM_1_2 __URI_LINK_USUB_NATARCZYWY && ZABOJCASPAMU_FROM_UNKNOWN && ZABOJCASPAMU_RECEIVED_COM
 describe ZABOJCASPAMU_NATARCZYWYSPAM_1_2 Spam grzybica, detektor, klimatyzator ...(rodzaj 1 uknown z linkiem)
 score    ZABOJCASPAMU_NATARCZYWYSPAM_1_2 3

header  __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 Received =~ /from ([^.]+)\.[a-z]+\.com \(\1\.[a-z]+\.com/
header  __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 Received =~ /from [^.]+\.([a-z]+)\.com \([^.]+\.\1\.com/
meta    ZABOJCASPAMU_NATARCZYWYSPAM_2_1   __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && !  __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && (ZABOJCASPAMU_RANDOM_STRING || HK_RANDOM_ENVFROM)
describe ZABOJCASPAMU_NATARCZYWYSPAM_2_1 Spam grzybica, detektor, klimatyzator ... (rodzaj 2)
score    ZABOJCASPAMU_NATARCZYWYSPAM_2_1 10

meta    ZABOJCASPAMU_NATARCZYWYSPAM_2_S   __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && ! __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && ZABOJCASPAMU_LONG_LOGIN_IN_FROM
describe ZABOJCASPAMU_NATARCZYWYSPAM_2_S Spam grzybica, detektor, klimatyzator ... (rodzaj 2 Soft)
score    ZABOJCASPAMU_NATARCZYWYSPAM_2_S 1.8

meta    ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT   __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && ! __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && __URI_LINK_USUB_NATARCZYWY
describe ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT Spam grzybica, detektor, klimatyzator ... (rodzaj 2 Very Soft)
score    ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT 1

header ZABOJCASPAMU_SPAM_FAKTURA Subject=~/faktur.{1,50}/i
score ZABOJCASPAMU_SPAM_FAKTURA 0.006
mimeheader ZABOJCASPAMU_SPAM_FAKTURA2 Content-Type =~ /faktur.{1,20}\.(rar|zip)/i
meta ZABOJCASPAMU_SPAM_FAKTURA_ALL ZABOJASPAMU_SPAM_FAKTURA && ZABOJASPAMU_SPAM_FAKTURA2
describe ZABOJCASPAMU_SPAM_FAKTURA_ALL Fake faktura
score ZABOJCASPAMU_SPAM_FAKTURA_ALL 10

header ZABOJASPAMU_SPAM_FAKTURA2_2 Subject=~/Faktu\D*\d*.(MAG|_).*/i
score ZABOJASPAMU_SPAM_FAKTURA2_2 0.5
mimeheader ZABOJASPAMU_SPAM_FAKTURA2_2 Content-Type =~ /faktu.{1,20}\.(rar|zip)/i
meta ZABOJASPAMU_SPAM_FAKTURA2_ALL ZABOJASPAMU_SPAM_FAKTURA2 && ZABOJASPAMU_SPAM_FAKTURA2_2
describe ZABOJASPAMU_SPAM_FAKTURA2_ALL Fake faktura
score ZABOJASPAMU_SPAM_FAKTURA2_ALL 10

 header  ZABOJCASPAMU_MAIL_FROM_ICU  Received=~/\s[a-z]+\.[a-z]+\.icu \([a-z]+\.[a-z]+\.com /
 describe ZABOJCASPAMU_MAIL_FROM_ICU Mail from domain .icu a revDNS .com
 score   ZABOJCASPAMU_MAIL_FROM_ICU  2.5
 
  rawbody     __ZABOJCASPAMU_MAIL_TAKNIE_1   /[\'\"\>](TAK|NIE)[\'\"\<]/
 rawbody     __ZABOJCASPAMU_MAIL_TAKNIE_2   /subject\=(TAK|NIE|Tak|Nie|Zgoda|ZGODA)\W/
 rawbody     __ZABOJCASPAMU_MAIL_TAKNIE_3   /o tre.{1,8}ci (?:TAK|NIE) /
 rawbody     __ZABOJCASPAMU_MAIL_TAKNIE_4   /(?:NIE w jej temacie|slowem NIE w temacie)/
 rawbody     __ZABOJCASPAMU_MAIL_TAKNIE_5   /odpowied.{1,8} wpisuj.{1,8}c \"nie\"/
 rawbody     __ZABOJCASPAMU_MAIL_TAKNIE_6   /prosimy o odpowied.{1,8} "?TAK/
 rawbody     __ZABOJCASPAMU_MAIL_TAKNIE_7   /">TAK\s*</
 meta     ZABOJCASPAMU_MAIL_TAKNIE   __ZABOJCASPAMU_MAIL_TAKNIE_1 || __ZABOJCASPAMU_MAIL_TAKNIE_2 || __ZABOJCASPAMU_MAIL_TAKNIE_3 || __ZABOJCASPAMU_MAIL_TAKNIE_4 || __ZABOJCASPAMU_MAIL_TAKNIE_5  || __ZABOJCASPAMU_MAIL_TAKNIE_6 || ZABOJCASPAMU_MAIL_TAKNIE_7
 describe ZABOJCASPAMU_MAIL_TAKNIE   Prawdopodobny TAK lub NIE temat/tresc maila
 score    ZABOJCASPAMU_MAIL_TAKNIE   2.5

header ZABOJCASPAMU_SUBJECT_WEIRED_STRING Subject =~ /(?: -[a-z]|[a-z]+.[a-z]+| -.| .|[a-z]\- )/
describe ZABOJCASPAMU_SUBJECT_WEIRED_STRING Weired string in Subject: [a-z]-[a-z]
score ZABOJCASPAMU_SUBJECT_WEIRED_STRING 0.5