# Ostatnia aktualizacja 2021-01-03 # https://zabojcaspamu.pl # https://github.com/zabojcaspamu/spamassassin_rules # sa to reguly do programu spamassassin # Reguly maja dodane ZABOJCASPAMU aby bylo latwiej rozpoznac ktore sa z tej strony #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! #!! W czesci regul trzeba zmienic ciag WLASNADOMENA na wlasna domene jaka sie administruje #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! # Sumy kontrolne plikow https://zabojcaspamu.pl/md5sum.txt http://zabojcaspamu.pl/sha1sum.txt # Opis https://zabojcaspamu.pl/latwiejszy-format-plikow-na-stronie/ #Regula wychwytujaca czerwony kolor #https://zabojcaspamu.pl/czcionka-czerwona-w-mailu/ rawbody __ZABOJCASPAMU_RED_COLOR_1 /\W\#(ff|FF)0000\W/ rawbody __ZABOJCASPAMU_RED_COLOR_2 /[\";: ]red[\"\';]/ rawbody __ZABOJCASPAMU_RED_COLOR_3 /rgb\((?:2\d\d\|1[5-9]\d)\,\s*0\,\s*0\)/ meta ZABOJCASPAMU_RED_COLOR __ZABOJCASPAMU_RED_COLOR_1 || __ZABOJCASPAMU_RED_COLOR_2 || __ZABOJCASPAMU_RED_COLOR_3 describe ZABOJCASPAMU_RED_COLOR Wlacza sie czerwony kolor score ZABOJCASPAMU_RED_COLOR 0.5 #regula na zapytanie ofertowe #https://zabojcaspamu.pl/zapytanie-ofertowe/ header ZABOJCASPAMU_PYTANIE_OFERT Subject=~/apytanie .fertowe/ describe ZABOJCASPAMU_PYTANIE_OFERT W temacie 'Zapytanie ofertowe' score ZABOJCASPAMU_PYTANIE_OFERT 1 # https://zabojcaspamu.pl/spam-z-polski-z-koncowka-emai-com/ # regula na spam z dziwnymi z nazwiskami na A i B # Uwaga w 3 linii trzeba zastapic fraze WLASNADOMENA swoja wlasna domena czyli np header __ZABOJCASPAMU_LOGIN_NAZWISKO From=~ /(abram|Abram|abramczyk|Abramczyk|abramowicz|Abramowicz|adamczak|Adamczak|adamczyk|Adamczyk|adamek|Adamek|adamiak|Adamiak|adamik|Adamik|adamowicz|adamski|Babiarz|Babicz|Babik|Babin|Babinski|Babka|Babula|Baran|Baranek|Baranoski|Baranowski|Baranski|Barczak|Barela|Bargiel)/ header __ZABOJCASPAMU_DOMENA_MAILCOM From=~ /email\.(com|info)/ header __ZABOJCASPAMU_RP_FOR_THIS_SPAM Return-Path=~/-.{2,20}\=WLASNADOMENA@/ meta ZABOJCASPAMU_EMAILCOM __ZABOJCASPAMU_LOGIN_NAZWISKO && __LOCAL_DOMENA_MAILCOM && __LOCAL_RP_FOR_THIS_SPAM describe ZABOJCASPAMU_EMAILCOM Adres z nazwiskiem i domena z koncowka email.com score ZABOJCASPAMU_EMAILCOM 0 # wykrzykniki na koncu tematu # https://zabojcaspamu.pl/wykrzykniki-na-koncu-tematu/ header ZABOJCASPAMU_MANY_EXCL Subject =~ /\!{3,}$/ describe ZABOJCASPAMU_MANY_EXCL Subject ending exclamation mark score ZABOJCASPAMU_MANY_EXCL 1.5 #reguly dla Message-ID #https://zabojcaspamu.pl/reguly-dla-message-id/ header ZABOJCASPAMU_MSID_ZABOJCASPAMUHOST Message-ID=~/\@localhost\.localdomain>$/ describe ZABOJCASPAMU_MSID_ZABOJCASPAMUHOST Message-ID konczy sie localhost\.localdomain score ZABOJCASPAMU_MSID_ZABOJCASPAMUHOST 1.5 header ZABOJCASPAMU_MSID_ZABOJCASPAMU Message-ID=~/\.local>$/ describe ZABOJCASPAMU_MSID_ZABOJCASPAMU Message-ID konczy sie local score ZABOJCASPAMU_MSID_ZABOJCASPAMU 1 header ZABOJCASPAMU_MSID_NODOT Message-ID=~/\@[a-zA-Z0-9-]+>/ describe ZABOJCASPAMU_MSID_NODOT Message-ID po @ brak kropki score ZABOJCASPAMU_MSID_NODOT 0.2 header __ZABOJCASPAMU_FAKE_MSID0 Message-ID=~/WLASNADOMENA/ header __ZABOJCASPAMU_FAKE_MSID1 From=~/(MAILER\-DAEMON|mailer\-daemon)\@/ meta ZABOJCASPAMU_FAKE_MSID __ZABOJCASPAMU_FAKE_MSID0 && !__ZABOJCASPAMU_FAKE_MSID1 describe ZABOJCASPAMU_FAKE_MSID W message ID moje domena score ZABOJCASPAMU_FAKE_MSID 0.4 #spam z naglowkiem X-PHP-Script #https://zabojcaspamu.pl/naglowek-x-php-script-oznaka-spamu/ header ZABOJCASPAMU_X_PHP_Script exists:X-PHP-Script describe ZABOJCASPAMU_X_PHP_Script Zawiera naglowek X-PHP-Script score ZABOJCASPAMU_X_PHP_Script 4 # Wysylane przez skrypty PHP # https://zabojcaspamu.pl/maile-wysylane-przez-php/ header ZABOJCASPAMU_XMAILER_PHP X-Mailer=~/^(?:PHP|php)/ describe ZABOJCASPAMU_XMAILER_PHP Send by X-Mailer spam score ZABOJCASPAMU_XMAILER_PHP 0.5 #Regula do wywalania spamu z loginen support@ # https://zabojcaspamu.pl/duza-ilosc-spamu-z-loginem-support/ header ZABOJCASPAMU_X_PHP_Script exists:X-PHP-Script describe ZABOJCASPAMU_X_PHP_Script Zawiera naglowek X-PHP-Script score ZABOJCASPAMU_X_PHP_Script 4 header ZABOJCASPAMU_X_PHP_Originating exists:X-PHP-Originating-Script score ZABOJCASPAMU_X_PHP_Originating 0.1 describe ZABOJCASPAMU_X_PHP_Originating Has X-PHP-Originating-Script header header ZABOJCASPAMU_XMAILER_PHP X-Mailer=~/^(?:PHP|php)/ describe ZABOJCASPAMU_XMAILER_PHP Send by X-Mailer spam score ZABOJCASPAMU_XMAILER_PHP 0.5 header __ZABOJCASPAMU_SUPPORT_LOGIN_1 From=~/<support\@/ meta ZABOJCASPAMU_SUPPORT_LOGIN_1 __ZABOJCASPAMU_SUPPORT_LOGIN_1 && (ZABOJCASPAMU_XMAILER_PHP ||ZABOJCASPAMU_X_PHP_Script || ZABOJCASPAMU_X_PHP_Originating) describe ZABOJCASPAMU_SUPPORT_LOGIN_1 mail z support@ i majacy naglowki X-PHP-Script lub X-PHP-Originating-Script score ZABOJCASPAMU_SUPPORT_LOGIN_1 8 # Regula w temacie PLN zl # https://zabojcaspamu.pl/morze_pieniedzy/ header ZABOJCASPAMU_TEMAT_PLN Subject=~/(PLN|złotych| zł )/ describe ZABOJCASPAMU_TEMAT_PLN W temacie jest PLN lub zlotych score ZABOJCASPAMU_TEMAT_PLN 0.2 # Mamy dla ciebie prace # header __ZABOJCASPAMU_MARILLINCH_1 Subject=~/ID\:/ body __ZABOJCASPAMU_MARILLINCH_2 /Agencja Rekrutacyjna Maril Linch Production Inc/ meta ZABOJCASPAMU_MARILLINCH __ZABOJCASPAMU_MARILLINCH_1 && __ZABOJCASPAMU_MARILLINCH_2 describe ZABOJCASPAMU_MARILLINCH Mail z Agencja Rekrutacyjna Mail Linch score ZABOJCASPAMU_MARILLINCH 10 #regula z dziwnymi nazwiskami #https://zabojcaspamu.pl/abraabramabram…ecyficzny-spam/ header __ZABOJCASPAMU_LOGIN_NAZWISKO1 From=~ /(abram|Abram|abramczyk|Abramczyk|abramowicz|Abramowicz|adamczak|Adamczak|adamczyk|Adamczyk|adamek|Adamek|adamiak|Adamiak|adamik|Adamik|adamowicz|adamski|Babiarz|Babicz|Babik|Babin|Babinski|Babka|Babula|Baran|Baranek|Baranoski|Baranowski|Baranski|Barczak|Barela|Bargiel)/ header __ZABOJCASPAMU_DOMENA_MAILCOM1 From=~ /(email|news)\.(com|info)/ header __ZABOJCASPAMU_RP_FOR_THIS_SPAM1 Return-Path=~/-.{2,20}\=WLASNADOMENA@/ meta ZABOJCASPAMU_NAME_ABRAMBABIARZ __ZABOJCASPAMU_LOGIN_NAZWISKO1 && __ZABOJCASPAMU_DOMENA_MAILCOM1 && __ZABOJCASPAMU_RP_FOR_THIS_SPAM1 describe ZABOJCASPAMU_NAME_ABRAMBABIARZ Adres z nazwiskiem abram,Babik i domena z koncowka email.com score ZABOJCASPAMU_NAME_ABRAMBABIARZ 3 #Ubijamy niebieski.net #https://zabojcaspamu.pl/niebieski-net-blokujemy-pernametnie/ header ZABOJCASPAMU_NIEBIESKINET ALL=~/\.niebieski\.net/ describe ZABOJCASPAMU_NIEBIESKINET W nagłówkach jest niebieski.net score ZABOJCASPAMU_NIEBIESKINET 10 #Sprawdzanie X-Mailer # https://zabojcaspamu.pl/spamerskie-narzedzia-czyli-sprawdzamy-x-mailer/ header ZABOJCASPAMU_XMAILER_428134 X-Mailer=~/4.2.8-134 \[Aug 22 2012/ describe ZABOJCASPAMU_XMAILER_428134 Send by X-Mailer 4.2.8-134 [Aug score ZABOJCASPAMU_XMAILER_428134 4 header ZABOJCASPAMU_XMAILER_TIDEPLATFORM X-Mailer=~/TidePlatform/ describe ZABOJCASPAMU_XMAILER_TIDEPLATFORM Send by TidePlatform score ZABOJCASPAMU_XMAILER_TIDEPLATFORM 4 header ZABOJCASPAMU_XMAILER_PROROUSERVICE X-Mailer=~/Professional Routing Service/ describe ZABOJCASPAMU_XMAILER_PROROUSERVICE Send by Professional Routing Service score ZABOJCASPAMU_XMAILER_PROROUSERVICE 4 header ZABOJCASPAMU_XMAILER_aspNetEmail X-Mailer=~/aspNetEmail/ describe ZABOJCASPAMU_XMAILER_aspNetEmail Send by X-Mailer aspNetEmail score ZABOJCASPAMU_XMAILER_aspNetEmail 4 header ZABOJCASPAMU_XMAILER_MS X-Mailer=~/^Microsoft Office Outlook, Build 11.0.5510/ describe ZABOJCASPAMU_XMAILER_MS Send by Microsoft Office Outlook, score ZABOJCASPAMU_XMAILER_MS 1 header ZABOJCASPAMU_XMAILER_iMTA X-Mailer=~/iMTA/ describe ZABOJCASPAMU_XMAILER_iMTA Send by Xmailer iMTA score ZABOJCASPAMU_XMAILER_iMTA 4 header ZABOJCASPAMU_XMAILER_Ajaxel_CMS X-Mailer =~ /^\s*Ajaxel CMS v\d+\.\d+/ describe ZABOJCASPAMU_XMAILER_Ajaxel_CMS Message from Ajaxel CMS (DSPAM_autolearn), score ZABOJCASPAMU_XMAILER_Ajaxel_CMS 3.5 header ZABOJCASPAMU_XMAILER_SendBlaster X-Mailer =~ /^\s*SendBlaster\.\d+\.\d+\.\d+$/ describe ZABOJCASPAMU_XMAILER_SendBlaster Email marketing mailing software SendBlaster score ZABOJCASPAMU_XMAILER_SendBlaster 3.5 header ZABOJCASPAMU_XMAILER_SMART_SEND_2 X-Mailer =~ /^\s*(SmartSend|Smart_Send).\d.\d.\d/ describe ZABOJCASPAMU_XMAILER_SMART_SEND_2 Suspicious X-Mailer: SmartSend score ZABOJCASPAMU_XMAILER_SMART_SEND_2 4.0 header ZABOJCASPAMU_SPAMWARE_XMAILER_iBriteMail X-Mailer =~ /^\s*(iBriteMail .+)$/ describe ZABOJCASPAMU_SPAMWARE_XMAILER_iBriteMail SPAMWARE X-Mailer (DSPAM_autolearn) score ZABOJCASPAMU_SPAMWARE_XMAILER_iBriteMail 3.0 header ZABOJCASPAMU_SPAMWARE_XMAILER_MMailer X-Mailer =~ /^\s*MMailer v3\.[01]$/ describe ZABOJCASPAMU_SPAMWARE_XMAILER_MMailer SPAMWARE X-Mailer MMailer (DSPAM_autolearn) score ZABOJCASPAMU_SPAMWARE_XMAILER_MMailer 5.0 header ZABOJCASPAMU_SPAMWARE_XMAILER_eMailink X-Mailer =~ /^\s*eMailink 3$/ describe ZABOJCASPAMU_SPAMWARE_XMAILER_eMailink SPAMWARE X-Mailer (DSPAM_autolearn) score ZABOJCASPAMU_SPAMWARE_XMAILER_eMailink 3.0 header ZABOJCASPAMU_SPAMWARE_XMAILER_gMailer X-Mailer =~ /^\s*GOOD Mailer v\d+\.\d+$/ describe ZABOJCASPAMU_SPAMWARE_XMAILER_gMailer SPAMWARE X-Mailer GOOD Mailer score ZABOJCASPAMU_SPAMWARE_XMAILER_gMailer 3.0 header ZABOJCASPAMU_XMAILER_mLogic X-Mailer =~ /^\s*mLogic$/ describe ZABOJCASPAMU_XMAILER_mLogic Strange X-Mailer mLogic (DSPAM_autolearn) score ZABOJCASPAMU_XMAILER_mLogic 5.0 header ZABOJCASPAMU_XMAILER_Default X-Mailer =~ /^\s*Default$/ describe ZABOJCASPAMU_XMAILER_Default Suspicious X-Mailer Default score ZABOJCASPAMU_XMAILER_Default 4.0 header ZABOJCASPAMU_XMAILER_STREAMSEND X-Mailer =~ /^\s*StreamSend/ describe ZABOJCASPAMU_XMAILER_STREAMSEND Message from Email Marketing Solutions score ZABOJCASPAMU_XMAILER_STREAMSEND 0.5 header ZABOJCASPAMU_XMAILER_Vladium X-Mailer =~ /Vladium/ describe ZABOJCASPAMU_XMAILER_Vladium Suspicious X-Mailer Vladium score ZABOJCASPAMU_XMAILER_Vladium 4.0 header ZABOJCASPAMU_XMAILER_NeoFm X-Mailer =~ /NeoFm/ describe ZABOJCASPAMU_XMAILER_NeoFm Suspicious X-Mailer NeoFm score ZABOJCASPAMU_XMAILER_NeoFm 4.0 header ZABOJCASPAMU_XMAILER_Oracle X-Mailer =~ /Oracle Communications Messenger/ describe ZABOJCASPAMU_XMAILER_Oracle Zawiera X-Mailer Oracle Communications Messenger score ZABOJCASPAMU_XMAILER_Oracle 1 header ZABOJCASPAMU_XMAILER_Centrum_Email X-Mailer =~ /Centrum Email/ describe ZABOJCASPAMU_XMAILER_Centrum_Email Zawiera X-Mailer Centrum Email score ZABOJCASPAMU_XMAILER_Centrum_Email 2 # spam z loginem prezent # https://zabojcaspamu.pl/spam-z-loginem-prezent/ header __ZABOJCASPAMU_FROM_PREZENT_1 From=~/\<prezent\@/ meta ZABOJCASPAMU_FROM_PREZENT __ZABOJCASPAMU_FROM_PREZENT_1 && ZABOJCASPAMU_XMAILER_iMTA && LOCAL_MSID_LOCALHOST describe ZABOJCASPAMU_FROM_PREZENT Spam z prezent@ i ze masz 40PLN score ZABOJCASPAMU_FROM_PREZENT 10 # Podkreslenie i boldowanie # https://zabojcaspamu.pl/podkreslenie-i-boldowanie-w-tekscie/ rawbody ZABOJCASPAMU_UNDERLINE /\<(U|u)\>/ describe ZABOJCASPAMU_UNDERLINE Podkreślenie w tekscie score ZABOJCASPAMU_UNDERLINE 0.2 rawbody ZABOJCASPAMU_BOLD /\<(STRONG|strong)\>/ describe ZABOJCASPAMU_BOLD Boldowanie w tekscie score ZABOJCASPAMU_BOLD 0.2 #Kumple niebieski.net czyli v.tld.pl # https://zabojcaspamu.pl/kumple-niebieski-net-czyli-v-tld-pl/ header ZABOJCASPAMU_VTLDPL Received=~/smtp\.\d+\.v\.tld\.pl/ describe ZABOJCASPAMU_VTLDPL W Received jest smtp.\d+.tld.pl score ZABOJCASPAMU_VTLDPL 4 #Super kredyt i w ogóle za darmo #https://zabojcaspamu.pl/super-kredyt-i-w-ogole-za-darmo/ header ZABOJCASPAMU_SUBJECT_KREDYT Subject=~/(?:(K|k)redyt| po.{1,8}yczka)/ describe ZABOJCASPAMU_SUBJECT_KREDYT W temacie slowo kredyt lub pozyczka score ZABOJCASPAMU_SUBJECT_KREDYT 0.8 #Dalej walczymy z polem X-Mailer #https://zabojcaspamu.pl/dalej-walczymy-z-polem-x-mailer/ meta ZABOJCASPAMU_BULK_SIGNATURE DCC_CHECK || RAZOR2_CHECK || PYZOR_CHECK describe ZABOJCASPAMU_BULK_SIGNATURE Mail ma bulk score ZABOJCASPAMU_BULK_SIGNATURE 0.01 meta __ZABOJCASPAMU_XMAILER_SPAMER ZABOJCASPAMU_XMAILER_428134|| ZABOJCASPAMU_XMAILER_Ajaxel_CMS|| ZABOJCASPAMU_XMAILER_aspNetEmail|| ZABOJCASPAMU_XMAILER_Default||ZABOJCASPAMU_XMAILER_iMTA|| ZABOJCASPAMU_XMAILER_mLogic|| ZABOJCASPAMU_XMAILER_MS|| ZABOJCASPAMU_XMAILER_NeoFm|| ZABOJCASPAMU_XMAILER_Oracle|| ZABOJCASPAMU_XMAILER_PHP|| ZABOJCASPAMU_XMAILER_PROROUSERVICE|| ZABOJCASPAMU_XMAILER_SendBlaster|| ZABOJCASPAMU_XMAILER_SMART_SEND_2|| ZABOJCASPAMU_XMAILER_STREAMSEND|| ZABOJCASPAMU_XMAILER_TIDEPLATFORM|| ZABOJCASPAMU_XMAILER_Vladium meta ZABOJCASPAMU_XMAILER_BULK __ZABOJCASPAMU_XMAILER_SPAMER && ZABOJCASPAMU_BULK_SIGNATURE describe ZABOJCASPAMU_XMAILER_BULK Spamerskie XMAILER i ktorys z DCC lub RAZOR2 lub PYZOR score ZABOJCASPAMU_XMAILER_BULK 5 # Kończąc temat X-Mailer # https://zabojcaspamu.pl/konczac-temat-x-mailer/ meta __ZABOJCASPAMU_XMAILER_SPAMER ZABOJCASPAMU_XMAILER_428134|| ZABOJCASPAMU_XMAILER_Ajaxel_CMS|| ZABOJCASPAMU_XMAILER_aspNetEmail|| ZABOJCASPAMU_XMAILER_Default||ZABOJCASPAMU_XMAILER_iMTA|| ZABOJCASPAMU_XMAILER_mLogic|| ZABOJCASPAMU_XMAILER_MS|| ZABOJCASPAMU_XMAILER_NeoFm|| ZABOJCASPAMU_XMAILER_Oracle|| ZABOJCASPAMU_XMAILER_PHP|| ZABOJCASPAMU_XMAILER_PROROUSERVICE|| ZABOJCASPAMU_XMAILER_SendBlaster|| ZABOJCASPAMU_XMAILER_SMART_SEND_2|| ZABOJCASPAMU_XMAILER_STREAMSEND|| ZABOJCASPAMU_XMAILER_TIDEPLATFORM|| ZABOJCASPAMU_XMAILER_Vladium meta ZABOJCASPAMU_XMAILER_PRECEDENCE __ZABOJCASPAMU_XMAILER_SPAMER && LOCAL_PRECEDENCE_BULK describe ZABOJCASPAMU_XMAILER_PRECEDENCE Spamerskie XMAILER i dodatkoweo precedence:bulk score ZABOJCASPAMU_XMAILER_PRECEDENCE 10 #Prosimy o pusty mail #https://zabojcaspamu.pl/prosimy-o-pusty-mail/ body ZABOJCASPAMU_PUSTY_MAIL /pust(ego|y) (listu|maila?|e-?maila?)/ describe ZABOJCASPAMU_PUSTY_MAIL Pusty mail score ZABOJCASPAMU_PUSTY_MAIL 0.4 #Anomail śle spam #https://zabojcaspamu.pl/anomail-sle-spam/ header ZABOJCASPAMU_ANOMAIL Organization =~ /^AnoMail/ describe ZABOJCASPAMU_ANOMAIL Organization AnoMail score ZABOJCASPAMU_ANOMAIL 3.5 #Reguła 21 stycznia 2013 #https://zabojcaspamu.pl/regula-21-stycznia-2013/ body ZABOJCASPAMU_21STY2013 /(od dnia | dniem )21 stycznia 2013/ describe ZABOJCASPAMU_21STY2013 Od 21 stycznie 2013 mozna wysylac zapytania score ZABOJCASPAMU_21STY2013 1 #Pisze do Pana/Pani #https://zabojcaspamu.pl/pisze-do-panapani/ body ZABOJCASPAMU_PANIPANA /Pan.{0,3}\s*\/\s*Pan.{0,3}/ describe ZABOJCASPAMU_PANIPANA Zwrot Pan/Pani, Pani/Pana itd score ZABOJCASPAMU_PANIPANA 0.3 #Znak procentu w temacie #https://zabojcaspamu.pl/znak-procentu-w-temacie/ header ZABOJCASPAMU_SUBJECT_PERCENT Subject=~/\%/ describe ZABOJCASPAMU_SUBJECT_PERCENT W temacie znak procentu score ZABOJCASPAMU_SUBJECT_PERCENT 0.3 #Parowanie reguł aby zwiększyć moc #https://zabojcaspamu.pl/parowanie-regul-aby-zwiekszyc-moc/ meta ZABOJCASPAMU_TWO_DCCRED ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR) describe ZABOJCASPAMU_TWO_DCCRED ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR) score ZABOJCASPAMU_TWO_DCCRED 1 #Domena zawiera wiele cyfr #https://zabojcaspamu.pl/domena-zawiera-wiele-cyfr/ header ZABOJCASPAMU_DIGITS_DOMAIN From=~/\@.+\d{3,}/ describe ZABOJCASPAMU_DIGITS_DOMAIN Domena zawiera liczbe 3-cyfrowa score ZABOJCASPAMU_DIGITS_DOMAIN 0.3 #Link wypisujący z subskrypcji #https://zabojcaspamu.pl/link-wypisujacy-z-subskrypcji/ uri ZABOJCASPAMU_FSL_UNSUB_RATWARE /unsubscribe\.php\?M=[0-9]+&C=[^& ]+&L=[0-9]+&N=[0-9]+/ describe ZABOJCASPAMU_FSL_UNSUB_RATWARE Unsubscribe ratware signature score ZABOJCASPAMU_FSL_UNSUB_RATWARE 0.01 #Mam przyjemność #https://zabojcaspamu.pl/mam-przyjemnosc/ body ZABOJCASPAMU_MAM_PRZYJEMNOSC /Mam przyjemno.{1,8}/ describe ZABOJCASPAMU_MAM_PRZYJEMNOSC wystepuje fraza 'Mam przyjemnosc' score ZABOJCASPAMU_MAM_PRZYJEMNOSC 0.2 #Pole X-PHP-Originating-Script #https://zabojcaspamu.pl/pole-x-php-originating-script/ header ZABOJCASPAMU_X_PHP_Originating exists:X-PHP-Originating-Script describe ZABOJCASPAMU_X_PHP_Originating Has X-PHP-Originating-Script header score ZABOJCASPAMU_X_PHP_Originating 4 #Prosimy o zwrotną wiadomosc #https://zabojcaspamu.pl/prosimy-o-zwrotna-wiadomosc/ body ZABOJCASPAMU_ZWROTNA_WIADOMOSC /wiadomo.{1,8} zwrotn.{1,8}|wiadomo(?:.{1,8}ci|.{1,10}) zwrotn(?:ej|.)|zwrotn(ej|.) wiadomo(.{1,8}ci|..)/ describe ZABOJCASPAMU_ZWROTNA_WIADOMOSC zwrotna wiadomosc score ZABOJCASPAMU_ZWROTNA_WIADOMOSC 2.5 # Parowanie regul # https://zabojcaspamu.pl/parowanie-regul/ meta ZABOJCASPAMU_TWO_4427 ( ZABOJCASPAMU_MSID_LOCALHOST && ZABOJCASPAMU_XMAILER) describe ZABOJCASPAMU_TWO_4427 ( ZABOJCASPAMU_MSID_LOCALHOST && ZABOJCASPAMU_XMAILER) score ZABOJCASPAMU_TWO_4427 0.5 meta ZABOJCASPAMU_TWO_4 ( DEAR_SOMETHING && FREEMAIL_FROM) describe ZABOJCASPAMU_TWO_4 ( DEAR_SOMETHING && FREEMAIL_FROM) score ZABOJCASPAMU_TWO_4 1 meta ZABOJCASPAMU_TWO_275 ( FREEMAIL_FROM && LOTS_OF_MONEY) describe ZABOJCASPAMU_TWO_275 ( FREEMAIL_FROM && LOTS_OF_MONEY) score ZABOJCASPAMU_TWO_275 0.7 meta ZABOJCASPAMU_TWO_17126 ( MIME_HTML_ONLY && MPART_ALT_DIFF) describe ZABOJCASPAMU_TWO_17126 ( MIME_HTML_ONLY && MPART_ALT_DIFF) score ZABOJCASPAMU_TWO_17126 0.8 meta ZABOJCASPAMU_TWO_6151 ( FUZZY_CREDIT && MIME_HTML_ONLY) describe ZABOJCASPAMU_TWO_6151 ( FUZZY_CREDIT && MIME_HTML_ONLY) score ZABOJCASPAMU_TWO_6151 1.5 meta ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE) describe ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE) score ZABOJCASPAMU_TWO_5358 0.5 #Mail zawiera naglowek X-Campaign #https://zabojcaspamu.pl/mail-zawiera-naglowek-x-campaign/ header ZABOJCASPAMU_XCAMP exists:X-Campaign describe ZABOJCASPAMU_XCAMP Zawiera X-Campaign score ZABOJCASPAMU_XCAMP 2 header ZABOJCASPAMU_XCAMPID exists:X-CampaignID describe ZABOJCASPAMU_XCAMPID Zawiera X-CampaignID score ZABOJCASPAMU_XCAMPID 2 #Freshmail ciagly spamer #https://zabojcaspamu.pl/freshmail-ciagly-spamer/ header ZABOJCASPAMU_XABUSE_FRESH X-Abuse=~/support\.freshmail\.com/ describe ZABOJCASPAMU_XABUSE_FRESH X-Abuse zawiera support.freshmail.com score ZABOJCASPAMU_XABUSE_FRESH 1 #Kuszenie darmowym lub gratisem #https://zabojcaspamu.pl/kuszenie-darmowym-lub-gratisem/ header ZABOJCASPAMU_SUBJECT_DARMO Subject=~/(?: darmo| gratis|bez op.{1,8}at)/ describe ZABOJCASPAMU_SUBJECT_DARMO W temacie znajduje sie ' darmo' 'gratis' score ZABOJCASPAMU_SUBJECT_DARMO 0.5 #Spamerskie loginy w adresach nadawców #https://zabojcaspamu.pl/796/ header ZABOJCASPAMU_FROM_LOGIN_STUP From=~ /(?:marketing|foryou|news\d|mailing|root|mailer|kampanie|reklama|oferta|anonymous|www-data|http|szkolenia|kurys)\@/ describe ZABOJCASPAMU_FROM_LOGIN_STUP From mailing,marketing,root,mailer,http,reklama,oferta,anonymous,www-data,szkolenia,kursy score ZABOJCASPAMU_FROM_LOGIN_STUP 1 #Dużo adresatów w jawnej kopii #https://zabojcaspamu.pl/duzo-adresatow-w-jawnej-kopii/ header ZABOJCASPAMU_TO_TOO_MANY To =~ /(?:,[^,]{1,80}){30}/ describe ZABOJCASPAMU_TO_TOO_MANY To: too many recipients score ZABOJCASPAMU_TO_TOO_MANY 1 #dziwne postacie domen #https://zabojcaspamu.pl/dziwne-postacie-domen/ header ZABOJCASPAMU_DIGITS_DOMAIN From=~/\@.+\d{3,}/ describe ZABOJCASPAMU_DIGITS_DOMAIN Domena zawiera liczbe 3-cyfrowa score ZABOJCASPAMU_DIGITS_DOMAIN 0.2 #maile z fraza news0 #https://zabojcaspamu.pl/adres-z-fraza-news0/ header ZABOJCASPAMU_RETURNPATH_ATHOST Return-Path=~/\@host\d+\./ describe ZABOJCASPAMU_RETURNPATH_ATHOST W Return path jest '@host\d+.' score ZABOJCASPAMU_RETURNPATH_ATHOST 0.3 #falszywe DHLe #https://zabojcaspamu.pl/falszywe-przesylki-dhl/ header __ZABOJCASPAMU_FAKE_DHL_1 From=~/(DHL|dhl)/ header __ZABOJCASPAMU_FAKE_DHL_2 Subject=~/\d{9,11}/ meta ZABOJCASPAMU_FAKE_DHL __ZABOJCASPAMU_FAKE_DHL_1 && __ZABOJCASPAMU_FAKE_DHL_2 && ZABOJCASPAMUL_FAKE_MSID describe ZABOJCASPAMU_FAKE_DHL Falszywa wiadomosc o wysylce DHL score ZABOJCASPAMU_FAKE_DHL 10 #niebieski.net sprawdzamy po IP #https://zabojcaspamu.pl/niebieski-net-sprawdzamy-po-ip/ header EXPERMINETAL_NIEBIESKI_IP ALL=~/(195\.149\.228\.82|195\.149\.229\.171|94\.152\.140\.255|94\.152\.142\.214|94\.152\.193\.100|94\.152\.193\.101|94\.152\.193\.102|94\.152\.193\.103|94\.152\.193\.104|94\.152\.193\.105|94\.152\.193\.106|94\.152\.193\.107|94\.152\.193\.110|94\.152\.193\.111|94\.152\.193\.112|94\.152\.193\.113|94\.152\.193\.116|94\.152\.193\.117|94\.152\.193\.120|94\.152\.193\.121|94\.152\.193\.122|94\.152\.193\.123|94\.152\.193\.124|94\.152\.193\.125|94\.152\.193\.126|94\.152\.193\.127|94\.152\.193\.131|94\.152\.193\.132|94\.152\.193\.133|94\.152\.193\.134|94\.152\.193\.135|94\.152\.193\.136|94\.152\.193\.137|94\.152\.193\.138|94\.152\.193\.23|94\.152\.193\.24|94\.152\.193\.25|94\.152\.193\.26|94\.152\.193\.27|94\.152\.193\.28|94\.152\.193\.29|94\.152\.193\.30|94\.152\.193\.31|94\.152\.193\.32|94\.152\.193\.33|94\.152\.193\.34|94\.152\.193\.35|94\.152\.193\.36|94\.152\.193\.37|94\.152\.193\.38|94\.152\.193\.39|94\.152\.193\.40|94\.152\.193\.41|94\.152\.193\.42|94\.152\.193\.43|94\.152\.193\.44|94\.152\.193\.45|94\.152\.193\.46|94\.152\.193\.47|94\.152\.193\.48|94\.152\.193\.49|94\.152\.193\.50|94\.152\.193\.51|94\.152\.193\.52|94\.152\.193\.53|94\.152\.193\.54|94\.152\.193\.55|94\.152\.193\.60|94\.152\.193\.61|94\.152\.193\.62|94\.152\.193\.63|94\.152\.193\.66|94\.152\.193\.67|94\.152\.193\.68|94\.152\.193\.69|94\.152\.193\.70|94\.152\.193\.71|94\.152\.193\.72|94\.152\.193\.73|94\.152\.193\.74|94\.152\.193\.75|94\.152\.193\.76|94\.152\.193\.77|94\.152\.193\.78|94\.152\.193\.79|94\.152\.193\.80|94\.152\.193\.81|94\.152\.193\.82|94\.152\.193\.83|94\.152\.193\.84|94\.152\.193\.85|94\.152\.193\.86|94\.152\.193\.87|94\.152\.193\.88|94\.152\.193\.89|94\.152\.193\.92|94\.152\.193\.93|94\.152\.193\.94|94\.152\.193\.95|94\.152\.193\.96|94\.152\.193\.97|94\.152\.193\.98|94\.152\.193\.99)/ describe EXPERMINETAL_NIEBIESKI_IP IP w Received z zakresu niebieski.net score EXPERMINETAL_NIEBIESKI_IP 0.3 #wysyp maile z dhlu #https://zabojcaspamu.pl/alert-wysyp-lepiej-przygotowanego-ataku-przesylka-dhl/ header __ZABOJCASPAMU_FAKE_DHL2_1 Subject=~/(Sendung|Versand) \d{9,12}/ header __ZABOJCASPAMU_FAKE_DHL2_2 From:addr=~/dhl\./ meta ZABOJCASPAMU_FAKE_DHL2 __ZABOJCASPAMU_FAKE_DHL2_1 && ! __ZABOJCASPAMU_FAKE_DHL2_2 describe ZABOJCASPAMU_FAKE_DHL2 Falszywa wiadomosc o wysylce DHL (v2) score ZABOJCASPAMU_FAKE_DHL2 10 header __ZABOJCASPAMU_FAKE_DHL3_1 From=~/DHL/ header __ZABOJCASPAMU_FAKE_DHL3_2 From:addr=~/(dhl\.|dhl24\.)/i meta ZABOJCASPAMU_FAKE_DHL3 __ZABOJCASPAMU_FAKE_DHL3_1 && !__ZABOJCASPAMU_FAKE_DHL3_2 describe ZABOJCASPAMU_FAKE_DHL3 Falszywa wiadomosc o wysylce DHL (v3) score ZABOJCASPAMU_FAKE_DHL3 10 header EXPERIMENTAL_FAKE_DHL4 Subject=~/przesylk. DHL/ describe EXPERIMENTAL_FAKE_DHL4 Falszywa wiadomosc o wysylce DHL (v4) score EXPERIMENTAL_FAKE_DHL4 10 header __EXPERIMENTAL_FAKE_DHL5_1 From=~/DHL/ header __EXPERIMENTAL_FAKE_DHL5_2 exists:DKIM-Signature header __EXPERIMENTAL_FAKE_DHL5_3 ALL=~/d=dhl\.com\; / header __EXPERIMENTAL_FAKE_DHL5_4 Authentication-Results=~/ dkim=pass/ meta EXPERIMENTAL_FAKE_DHL5 __EXPERIMENTAL_FAKE_DHL5_1 && (!__EXPERIMENTAL_FAKE_DHL5_2 || ! __EXPERIMENTAL_FAKE_DHL5_3 || ! __EXPERIMENTAL_FAKE_DHL5_4) describe EXPERIMENTAL_FAKE_DHL5 falszywa wiadomosc o Wysylce DHL (v5 sprawdzanie DKIM) score EXPERIMENTAL_FAKE_DHL5 0.01 header __ZABOJCASPAMU_FAKE_DHL6_1 From=~/(dhl|DHL)\./ header __ZABOJCASPAMU_FAKE_DHL6_2 From:addr=~/dhl\./i meta ZABOJCASPAMU_FAKE_DHL6 __ZABOJCASPAMU_FAKE_DHL6_1 && ! __ZABOJCASPAMU_FAKE_DHL6_2 describe ZABOJCASPAMU_FAKE_DHL6 falszywa wiadomosc o Wysylce DHL (v6 dhl. sie wyswietla a nie ma w adresie) score ZABOJCASPAMU_FAKE_DHL6 10 #iPKO spoofing #https://zabojcaspamu.pl/phishing-na-ipko-sie-uaktywnil/ header __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 Subject=~/ iPKO/ rawbody __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 /\<a href="http:\/\/[a-z]+\-ipko.com\/"> www.ipko.pl <\/a>/ meta ZABOJCASPAMU_FROM_IPKO_SPOOF __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 && __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 describe ZABOJCASPAMU_FROM_IPKO_SPOOF Spoofing o iPKO score ZABOJCASPAMU_FROM_IPKO_SPOOF 10 #Rachunki z Telekomu #https://zabojcaspamu.pl/niemieckie-rachunki-z-telekom-de/ header __ZABOJCASPAMU_RECHNUNG_201506111_1 Subject=~/Ihre Telekom Festnetz\-Rechnung/ header __ZABOJCASPAMU_RECHNUNG_201506111_2 From=~/Telekom/ header __ZABOJCASPAMU_RECHNUNG_201506111_3 From:addr=~/telekom\./ meta ZABOJCASPAMU_RECHNUNG_201506111 __ZABOJCASPAMU_RECHNUNG_201506111_1 && __ZABOJCASPAMU_RECHNUNG_201506111_2 && ! __ZABOJCASPAMU_RECHNUNG_201506111_3 describe ZABOJCASPAMU_RECHNUNG_201506111 Spam z Ihre Telekom Festnetz-Rechnung score ZABOJCASPAMU_RECHNUNG_201506111 10 header __ZABOJCASPAMU_RECHNUNG_201506112_1 From=~/Telekom/ uri_detail __ZABOJCASPAMU_RECHNUNG_201506112_2 text=~/www\.(t-online|telekom)\.de/ cleaned!~/(t-online|telekom)\.de/ meta ZABOJCASPAMU_RECHNUNG_201506112 __ZABOJCASPAMU_RECHNUNG_201506112_1 && __ZABOJCASPAMU_RECHNUNG_201506112_2 describe ZABOJCASPAMU_RECHNUNG_201506112 Fake Telekom po niemiecku score ZABOJCASPAMU_RECHNUNG_201506112 10 # Spoof iPKO # https://zabojcaspamu.pl/phishing-na-ipko-sie-uaktywnil/ header __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 Subject=~/ iPKO/ rawbody __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 /\<a href="https:\/\/[a-z]+\-ipko.com\/"> www.ipko.pl <\/a>/ meta ZABOJCASPAMU_FROM_IPKO_SPOOF __ZABOJCASPAMU_FROM_IPKO_SPOOF_1 && __ZABOJCASPAMU_FROM_IPKO_SPOOF_2 describe ZABOJCASPAMU_FROM_IPKO_SPOOF Spoofing o iPKO #Niemieckie rachunki z Telekom.de #https://zabojcaspamu.pl/niemieckie-rachunki-z-telekom-de/ header __ZABOJCASPAMU_RECHNUNG_201506111_1 Subject=~/Ihre Telekom Festnetz\-Rechnung/ header __ZABOJCASPAMU_RECHNUNG_201506111_2 From=~/Telekom/ header __ZABOJCASPAMU_RECHNUNG_201506111_3 From:addr=~/telekom\./ meta ZABOJCASPAMU_RECHNUNG_201506111 __ZABOJCASPAMU_RECHNUNG_201506111_1 && __ZABOJCASPAMU_RECHNUNG_201506111_2 && ! __ZABOJCASPAMU_RECHNUNG_201506111_3 describe ZABOJCASPAMU_RECHNUNG_201506111 Spam z Ihre Telekom Festnetz-Rechnung score ZABOJCASPAMU_RECHNUNG_201506111 10 score ZABOJCASPAMU_FROM_IPKO_SPOOF 10 #Twoja skrzynka zostala zablokowana #https://zabojcaspamu.pl/twoja-skrzynka-zostala-zablokowana/ #Poprawiona regula https://zabojcaspamu.pl/skrzynka-pocztowa-zostala-tymczasowo-zawieszona/ header __ZABOJCASPAMU_TWOJASKRZYNKA_1 From=~/(System Admin|IT ADMIN|Admin)/ header __ZABOJCASPAMU_TWOJASKRZYNKA_2 Subject=~/(Zostala Tymczasowo Zawieszona|woja skrzynka pocztowa zostala czasowo|Twoje konto email przekroczyles limitu bagazu|OSTRZEZENIE|Konto E-mail Zostal Zawieszony)/ meta ZABOJCASPAMU_TWOJASKRZYNKA __LOCAL_TWOJASKRZYNKA_1 && __LOCAL_TWOJASKRZYNKA_2 describe ZABOJCASPAMU_TWOJASKRZYNKA Email o przeplnionej skrzynce score ZABOJCASPAMU_TWOJASKRZYNKA 10 #Polski echelon #https://zabojcaspamu.pl/polski-system-echelon-belkocze/ header ZABOJCASPAMU_SYSTEMECHELON From=~/System Echelon/ describe ZABOJCASPAMU_SYSTEMECHELON Belkot z Systemu Echelon score ZABOJCASPAMU_SYSTEMECHELON 10 #Virgin Money o pracy zarobkach itd #https://zabojcaspamu.pl/spam-z-polem-from-bez-domeny/ header __ZABOJCASPAMU_FROM_NO_DOMAIN1 Return-Path=~/<>/ header __ZABOJCASPAMU_FROM_NO_DOMAIN2 From:addr=~/\@\s*$/ meta ZABOJCASPAMU_FROM_NO_DOMAIN __ZABOJCASPAMU_FROM_NO_DOMAIN1 && __ZABOJCASPAMU_FROM_NO_DOMAIN2 describe ZABOJCASPAMU_FROM_NO_DOMAIN Pole Return-Path <> a From:addr bez domeny score ZABOJCASPAMU_FROM_NO_DOMAIN 10 #Spam z domeny xyz #https://zabojcaspamu.pl/drazniacy-spam-z-domeny-xyz/ header ZABOJCASPAMU_SERVICEMXXYZ From:addr=~/service\d+\@mx\d+\.(m|s)[a-z]+\.xyz$/ describe ZABOJCASPAMU_SERVICEMXXYZ Z adresu postaci service1@mx1.mcostam.xyz score ZABOJCASPAMU_SERVICEMXXYZ 10 #czy w domenie jest DKIM #https://zabojcaspamu.pl/spf-i-dkim-pomagaja-ubijac-spam/ header __ZABOJCASPAMU_FROM_DKIM_SIGNER2 From:addr =~ /\@(yahoo\.|gmail\.com|googlemail\.com|facebookmail\.com|goldenline\.pl|gumtree\.pl|interia\.pl|nasza\-klasa\.pl|praca\.pl|pro\.onet\.pl|yahoo\.pl)/ header __ZABOJCASPAMU_DKIM_EXISTS_D DKIM-Signature=~/d=(yahoo\.|gmail\.com|googlemail\.com|facebookmail\.com|wp\.pl|goldenline\.pl|gumtree\.pl|interia\.pl|nasza\-klasa\.pl|praca\.pl|pro\.onet\.pl|yahoo\.pl)/m meta ZABOJCASPAMU_DKIM_NO_EXISTS __ZABOJCASPAMU_FROM_DKIM_SIGNER2 && ! __ZABOJCASPAMU_DKIM_EXISTS_D describe ZABOJCASPAMU_DKIM_NO_EXISTS Powinien byc DKIM a nie ma score ZABOJCASPAMU_DKIM_NO_EXISTS 3 #Message-ID od v.tld.pl #https://zabojcaspamu.pl/message-id-od-v-tld-pl/ header ZABOJCASPAMU_MSID_VTLD Message-ID=~/\@\d+\.v\.tld\.pl/ describe ZABOJCASPAMU_MSID_VTLD Message id z v.tld.pl score ZABOJCASPAMU_MSID_VTLD 10 #Zarabianie na gieldzie #https://zabojcaspamu.pl/program-ktory-sam-zrobi-ze-bedziesz-bogaty/ body __ZABOJCASPAMU_GIELDA_AI1 /\[ https:\/\/[a-z.-]+\/[a-z\/]+\.php\?b=2 \]/ body __ZABOJCASPAMU_GIELDA_AI2 /(ztuczna inteligencj|czlowiek spi|rogram zrobi wszystko|nwestujac|owiedz sie i zacznij|iemieccy matematycy |iemieccy uczeni|ktory handluje|na gieldzie|rynek gieldowy|wszystko sam)/ meta ZABOJCASPAMU_GIELDA_AI __ZABOJCASPAMU_GIELDA_AI1 && __ZABOJCASPAMU_GIELDA_AI2 describe ZABOJCASPAMU_GIELDA_AI Namawianie do gry na gieldzie score ZABOJCASPAMU_GIELDA_AI 10 rawbody ZABOJCASPAMU_BOGATY /\[ http:\/\/[a-z.-]+\/[a-z\/]+\.php\?b=2 \] \b[a-z\s]+/ describe ZABOJCASPAMU_BOGATY mail ze zostaniesz bogaty i program do gieldy score ZABOJCASPAMU_BOGATY 5 # Wysyp maili z eval code # https://zabojcaspamu.pl/wysyp-maili-z-eval-code/ header ZABOJCASPAMU_EVAL_CODE X-PHP-Originating-Script=~/eval\(\)'d code/ describe ZABOJCASPAMU_EVAL_CODE X-PHP-Originating-Script zawiera eval\(\)'d code score ZABOJCASPAMU_EVAL_CODE 10 # 40 pln za darmo # https://zabojcaspamu.pl/40-pln-za-darmo/ uri ZABOJCASPAMU_40PLNZADARMO1 /40plnzadarmo\.com/ describe ZABOJCASPAMU_40PLNZADARMO1 Link z 40plnzadarmo.com score ZABOJCASPAMU_40PLNZADARMO1 10 header __ZABOJCASPAMU_40PLNZADARMO2f From=~/40/ uri __ZABOJCASPAMU_40PLNZADARMO2u /40plnzadarmo\.com/ meta ZABOJCASPAMU_40PLNZADARMO2 __ZABOJCASPAMU_40PLNZADARMO2f && __ZABOJCASPAMU_40PLNZADARMO2u describe ZABOJCASPAMU_40PLNZADARMO2 Link z 40plnzadarmo.com score ZABOJCASPAMU_40PLNZADARMO2 10 # Falszywe przesylki z Poczty Polskiej # https://zabojcaspamu.pl/falszywe-przesylki-z-poczty-polskiej/ header __ZABOJCASPAMU_POCZTAPOLSKA_1 From=~/Poczta Polska/ header __ZABOJCASPAMU_POCZTAPOLSKA_2 From:addr=~/poczta\-polska\.pl/ meta ZABOJCASPAMU_POCZTAPOLSKA1 _ZABOJCASPAMU_POCZTAPOLSKA_1 && ! __ZABOJCASPAMU_POCZTAPOLSKA_2 describe ZABOJCASPAMU_POCZTAPOLSKA1 Falszywy adres z Poczty Polskiej score ZABOJCASPAMU_POCZTAPOLSKA1 10 header __ZABOJCASPAMU_POCZTAPOLSKA_3 From=~/Poczta Polska/ meta ZABOJCASPAMU_POCZTAPOLSKA2 __ZABOJCASPAMU_POCZTAPOLSKA_3 && ! SPF_PASS describe ZABOJCASPAMU_POCZTAPOLSKA2 Wymagane SPF dla Poczta Polska score ZABOJCASPAMU_POCZTAPOLSKA2 10 # W nadawcy @news lub @info # https://zabojcaspamu.pl/w-nadawcy-news-lub-info/ header ZABOJCASPAMU_RETURNPATH_ATHOST Return-Path=~/\@(host|news)\d+\./ describe ZABOJCASPAMU_RETURNPATH_ATHOST W Return path jest '@(host|news)\d+.' score ZABOJCASPAMU_RETURNPATH_ATHOST 0.5 # Gumtree i ogloszenia o prace # https://zabojcaspamu.pl/gumtree-i-ogloszenia-o-prace/ header ZABOJCASPAMU_GUMTREE Subject=~/Poniżej znajduje się odpowiedź na Twoje ogłoszenie Gumtree/ describe ZABOJCASPAMU_GUMTREE Informacja ze ogloszenie z gumtree score ZABOJCASPAMU_GUMTREE -10 # Za dlugi temat # https://zabojcaspamu.pl/za-dlugi-temat/ header ZABOJCASPAMU_VERY_LONG_SUBJ Subject=~/.{100,}/ describe ZABOJCASPAMU_VERY_LONG_SUBJ Bardzo dlugi temat score ZABOJCASPAMU_VERY_LONG_SUBJ 0.3 # Firmy zbierajace maile # https://zabojcaspamu.pl/firmy-zbierajace-maile/ body ZABOJCASPAMU_HARVEST_MAILI /(?:Yintaro Sp. z o.o.|LEAD RATE LTD|Leadstream Sp\. z o\.o|New Ursa Sp\. z o\.o|przez serwis domenabiznesu\.pl|przez redsales\.pl|BuyTogether|ProDirect Sp\. z o\.o|SANMARKS Sp\. z o\.o|Polsk.{1,8} Agencj{1,14} Satelitarn.{1,8} Orbita S\. A\.|wyjatkoweoferty\.pl|SANMARKS Sp\. z o\.o|HBI Polska|KOMPASS Poland|Kompass Poland|IPEiK|UAB |TeleCom|Venito-Reklama|biz-catalogs|ProDirect Sp|OpenRate )/ describe ZABOJCASPAMU_HARVEST_MAILI Pada nazwa firm harvestujacych maile(HBI,KOMPASS,IPEiKi,UAB(Venito-Reklama),biz-catalogs,ProDirect Sp,TeleCom) score ZABOJCASPAMU_HARVEST_MAILI 4 # Twoja skrzynak zostala zablokowana # https://zabojcaspamu.pl/skrzynka-pocztowa-zostala-tymczasowo-zawieszona/ header __ZABOJCASPAMU_TWOJASKRZYNKA_1 From=~/(System Admin|IT ADMIN|Admin)/ header __ZABOJCASPAMU_TWOJASKRZYNKA_2 Subject=~/(YOUR EMAIL ACCOUNT SUSPENSION NOTICE|Zostala Tymczasowo Zawieszona|woja skrzynka pocztowa zostala czasowo|Twoje konto email przekroczyles limitu bagazu|OSTRZEZENIE!!!)/ meta ZABOJCASPAMU_TWOJASKRZYNKA __LOCAL_TWOJASKRZYNKA_1 && __LOCAL_TWOJASKRZYNKA_2 describe ZABOJCASPAMU_TWOJASKRZYNKA Email o przeplnionej skrzynce score ZABOJCASPAMU_TWOJASKRZYNKA 10 # Login zawiera wiele cyfr # https://zabojcaspamu.pl/login-zawiera-wiele-cyfr/ header ZABOJCASPAMU_MANY_DIGITS_MAIL From:addr =~ /\d{7,}/ describe ZABOJCASPAMU_MANY_DIGITS_MAIL Email has many digits score ZABOJCASPAMU_MANY_DIGITS_MAIL 0.1 # W tytule slowo sprawdz # https://zabojcaspamu.pl/w-tytule-slowo-sprawdz/ header ZABOJCASPAMU_SUBJ_SPRAWDZ Subject=~/(?:(S|s)prawd=C5|(S|s)prawdź|(S|s)prawd=BC)/ describe ZABOJCASPAMU_SUBJ_SPRAWDZ Slowo sprawdz w temacie score ZABOJCASPAMU_SUBJ_SPRAWDZ 0.4 # Duze czcionki w mailu # https://zabojcaspamu.pl/duze-czcionki-w-mailu/ rawbody ZABOJCASPAMU_LARGE_SIZE_FONT /font-size:\s*(2[0-9]|3[0-9]|4[0-9])\s*px/ describe ZABOJCASPAMU_LARGE_SIZE_FONT Fonts 20+px score ZABOJCASPAMU_LARGE_SIZE_FONT 0.3 # Dobra regula wzmacniająca # https://zabojcaspamu.pl/dobra-regula-wzmacniajaca/ meta ZABOJCASPAMU_TWO_FREEMIME ( FREEMAIL_FROM && MIME_HTML_ONLY) describe ZABOJCASPAMU_TWO_FREEMIME ( FREEMAIL_FROM && MIME_HTML_ONLY) score ZABOJCASPAMU_TWO_FREEMIME 0.9 # W domenie news lub info #https://zabojcaspamu.pl/w-domenie-news-lub-info/ header ZABOJCASPAMU_RETURNPATH_ATNEWS Return-Path=~/\@(news|info)\d+\./ describe ZABOJCASPAMU_RETURNPATH_ATNEWS W Return path jest '@(news|info)\d+\.' score ZABOJCASPAMU_RETURNPATH_ATNEWS 0.5 # Komentarz w kodzie HTML maila # https://zabojcaspamu.pl/komentarz-w-kodzie-html-maila/ rawbody ZABOJCASPAMU_FSL_HTML_COMMENT /<!--/ describe ZABOJCASPAMU_FSL_HTML_COMMENT Komentarz wHTML score ZABOJCASPAMU_FSL_HTML_COMMENT 0.7 # reklama SEO # https://zabojcaspamu.pl/reklama-seo/ header __FSL_SUBJ_SEO_1 Subject =~ /\bSEO\b/i header __FSL_SUBJ_SEO_2 Subject =~ /\bsearch engine optimi[sz]ation\b/i meta ZABOJCASPAMU_FSL_SUBJ_SEO (__FSL_SUBJ_SEO_1 || __FSL_SUBJ_SEO_2) describe ZABOJCASPAMU_FSL_SUBJ_SEO Search engine optimisation score ZABOJCASPAMU_FSL_SUBJ_SEO 1.0 # Kolejna regula wzmacniajaca # https://zabojcaspamu.pl/kolejna-regula-wzmacniajaca/ header ZABOJCASPAMU_UNSUBS exists:List-Unsubscribe describe ZABOJCASPAMU_UNSUBS Zawiera List-Unsubscribe score ZABOJCASPAMU_UNSUBS 0.1 meta ZABOJCASPAMU_BAYES_HIGH (BAYES_80 + BAYES_80 + BAYES_95 + BAYES_99)>0 describe ZABOJCASPAMU_BAYES_HIGH Bayes high score ZABOJCASPAMU_BAYES_HIGH 0.001 meta ZABOJCASPAMU_TWO_2563 ( ZABOJCASPAMU_BAYES_HIGH && ZABOJCASPAMU_UNSUBS ) describe ZABOJCASPAMU_TWO_2563 ( ZABOJCASPAMU_BAYES_HIGH && ZABOJCASPAMU_UNSUBS ) score ZABOJCASPAMU_TWO_2563 2.5 # Odeslij maila z tematem Tak lub Nie. # https://zabojcaspamu.pl/odeslij-maila-z-tematem-tak-lub-nie/ body __ZABOJCASPAMU_MAIL_TAK_1 /\WTAK\W/ body __ZABOJCASPAMU_MAIL_NIE_1 /\WNIE\W/ body __ZABOJCASPAMU_MAIL_TAK_2 /\w\"Tak\"\w/ body __ZABOJCASPAMU_MAIL_NIE_2 /\w\"Nie\"\w/ meta ZABOJCASPAMU_MAIL_EXISTS_TAKNIE (__ZABOJCASPAMU_MAIL_TAK_1 && __ZABOJCASPAMU_MAIL_NIE_1) || (__ZABOJCASPAMU_MAIL_TAK_2 && __ZABOJCASPAMU_MAIL_NIE_2) describe ZABOJCASPAMU_MAIL_EXISTS_TAKNIE Wystepuja wyrazy TAK i NIE score ZABOJCASPAMU_MAIL_EXISTS_TAKNIE 1.2 # Mail z rezygnacja # https://zabojcaspamu.pl/mail-z-rezygnacja/ rawbody ZABOJCASPAMU_MAIL_REZYGNACJA /(>Rezygnuj<\/a>|\?subject=Rezygnacja\")/ describe ZABOJCASPAMU_MAIL_REZYGNACJA Mail o rezygnacji ze znacznikiem maila score ZABOJCASPAMU_MAIL_REZYGNACJA 0.8 # Kolejna regula wzmacniająca istniejące # https://zabojcaspamu.pl/kolejna-regula-wzmacniajaca-istniejace/ meta ZABOJCASPAMU_TWO_8817 ( FORGED_OUTLOOK_HTML && MIME_HTML_ONLY) describe ZABOJCASPAMU_TWO_8817 ( FORGED_OUTLOOK_HTML && MIME_HTML_ONLY) score ZABOJCASPAMU_TWO_8817 1 # Important message #https://zabojcaspamu.pl/important-message/ header __ZABOJCASPAMU_IMPORTMESS_1 From:addr=~/\@(op|poczta\.onet|interia|wp|neostrada|gazeta)\.pl/ header __ZABOJCASPAMU_IMPORTMESS_2 Subject=~/^Fw: / body __ZABOJCASPAMU_IMPORTMESS_3 /Important message, visit http:/ meta ZABOJCASPAMU_IMPORTMESS __ZABOJCASPAMU_IMPORTMESS_1 && __ZABOJCASPAMU_IMPORTMESS_2 && __ZABOJCASPAMU_IMPORTMESS_3 describe ZABOJCASPAMU_IMPORTMESS Widomosc z wp.pl ze wazna wiadomosc score ZABOJCASPAMU_IMPORTMESS 10 # jestemy firma # https://zabojcaspamu.pl/jestesmy-firma/ body EXPERIMENTAL_JESTESMY_FIRMA /Jeste.{1,8} firm.{1,8}/ describe EXPERIMENTAL_JESTESMY_FIRMA Fraza Jestemy firma score EXPERIMENTAL_JESTESMY_FIRMA 0.3 # Naprzemienne ciagi znakow i cyfr # https://zabojcaspamu.pl/naprzemienne-ciagi-znakow-i-cyfr/ header ZABOJCASPAMU_RETURN_PATH_MISC_CHAR Return-Path=~/[a-zA-Z]+\d+[a-zA-Z]+\d+\@/ describe ZABOJCASPAMU_RETURN_PATH_MISC_CHAR return-path misc char score ZABOJCASPAMU_RETURN_PATH_MISC_CHAR 0.2 # Zapytanie kolejny raz # https://zabojcaspamu.pl/zapytanie-kolejny-raz/ header ZABOJCASPAMU_ZAPYTANIE_SUBJ Subject=~/(apytanie|ZAPYTANIE)/ describe ZABOJCASPAMU_ZAPYTANIE_SUBJ W temacie 'Zapytanie' score ZABOJCASPAMU_ZAPYTANIE_SUBJ 0.5 #Zwrotny mail # https://zabojcaspamu.pl/zwrotny-mail/ body ZABOJCASPAMU_ZWROTNY_MAIL /(e-|e)?mail(a?|em) zwrotn(?:ego|y)|zwrotn(ego|y|ym) (?:e-|e)?mail/ describe ZABOJCASPAMU_ZWROTNY_MAIL Zwrotny mail score ZABOJCASPAMU_ZWROTNY_MAIL 3 #Mailing zrealizowany przez # https://zabojcaspamu.pl/mailing-zrealizowany-przez/ body ZABOJCASPAMU_MAZRPRZEZ /Mailing zrealizowany przez/ describe ZABOJCASPAMU_MAZRPRZEZ Zawiera 'Mailing zrealizowany przez' score ZABOJCASPAMU_MAZRPRZEZ 1 # Adres z numerem serwera w home.pl # https://zabojcaspamu.pl/adres-z-numerem-serwera-w-home-pl/ header ZABOJCASPAMU_FROM_DIGIT_HOME From=~/serwer\d\d\d\d\d\d\d\.home\.pl/ describe ZABOJCASPAMU_FROM_DIGIT_HOME From ma ciag np server.4223333.home.pl score ZABOJCASPAMU_FROM_DIGIT_HOME 4 # Kolejny raz FW:important czesc nastepna # https://zabojcaspamu.pl/kolejny-raz-fwimportant/ header __ZABOJCASPAMU_TO_TOO_MANY_1 To =~ /(?:,[^,]{1,80}){3}/ header __ZABOJCASPAMU_IMPORTMESSv4_1 Subject=~/^Fw: / meta ZABOJCASPAMU_IMPORTMESSv4 __ZABOJCASPAMU_TO_TOO_MANY_1 && __ZABOJCASPAMU_IMPORTMESSv4_1 describe ZABOJCASPAMU_IMPORTMESSv4 Wiadomosc FW: Important,read this lub inne score ZABOJCASPAMU_IMPORTMESSv4 15 # Warsztaty szkolenia i inne pierdoly # https://zabojcaspamu.pl/warsztaty-szkolenia-i-inne-pierdoly/ header ZABOJCASPAMU_WARSZTATY_ETC Subject=~/(arsztaty|Kurs |Kursy |zkolenia |zkolenie )/ describe ZABOJCASPAMU_WARSZTATY_ETC Info o warsztatach szkoleniac kursach... score ZABOJCASPAMU_WARSZTATY_ETC 1 # Tym razem bez FW czyli important message po raz n-ty # https://zabojcaspamu.pl/tym-razem-bez-fw-czyli-important-message-po-raz-n-ty/ header __ZABOJCASPAMU_TO_TOO_MANYv4 To =~ /(?:,[^,]{1,80}){2}/ header __ZABOJCASPAMU_IMPORTMESSv4_1 Subject=~/^important message/ rawbody __ZABOJCASPAMU_IMPORTMESSv4_2 /New message, please read/ meta ZABOJCASPAMU_IMPORTMESSv4 __ZABOJCASPAMU_TO_TOO_MANYv4 && __ZABOJCASPAMU_IMPORTMESSv4_1 && __ZABOJCASPAMU_IMPORTMESSv4_2 describe ZABOJCASPAMU_IMPORTMESSv4 Wiadomosc important message score ZABOJCASPAMU_IMPORTMESSv4 15 # Spam w pliku jar z tematem PO# # header EXPERIMENTAL_POHASHNUMBER Subject=~/^PO\#\d\d\d\d\d\d\d/ describe EXPERIMENTAL_POHASHNUMBER Temat zaczyna sie od PO# score EXPERIMENTAL_POHASHNUMBER 10 # Maile z darmowych kont z dziwnymi kodowaniami meta ZABOJCASPAMU_FREE_ENCONDIG FREEMAIL_FROM && (SUBJECT_NEEDS_ENCODING || SUBJ_ILLEGAL_CHARS) describe ZABOJCASPAMU_FREE_ENCONDIG FreeMail && Subject Encoding || Illegar Chars score ZABOJCASPAMU_FREE_ENCONDIG 1.3 #Pole List-Unsubscribe spamerow #https://zabojcaspamu.pl/pole-list-unsubscribe-spamerow/ header ZABOJCASPAMU_LOCUSNURI List-Unsubscribe=~/(novaskills\.pl|mail\.stunning-mail\.pl|s.mailing\.nk\-net\.pl|news\.ravelo\.pl|loginsr\.com\.pl|mailingsender\.pl)/ describe ZABOJCASPAMU_LOCUSNURI W polu List-Unsubscribe domeny spamerow score ZABOJCASPAMU_LOCUSNURI 1 # Blokada na ipko uri_detail ZABOJCASPAMU_FAKE_IPKOv3 text=~/pkobp\-weryfikuj\.com/ cleaned!~/www.ipko.pl/ describe ZABOJCASPAMU_FAKE_IPKOv3 fake url IPKO kolena wersja score ZABOJCASPAMU_FAKE_IPKOv3 10 #kolejny raz important message header __ZABOJCASPAMU_IMPORTMESSv4_1 Subject=~/^Fw: / meta ZABOJCASPAMU_IMPORTMESSv4 DATE_IN_FUTURE_12_24 && __ZABOJCASPAMU_IMPORTMESSv4_1 describe ZABOJCASPAMU_IMPORTMESSv4 Wiadomosc FW: Important,read this lub inne score ZABOJCASPAMU_IMPORTMESSv4 15 # Spam z tytulem Agri Basics # https://zabojcaspamu.pl/spam-z-tytulem-agri-basics/ header ZABOJCASPAMU_AGRIBASIC Subject=~/Agri Basics invoice \#\d+ and \d+/ describe ZABOJCASPAMU_AGRIBASIC Spam z tematem w stylu Agru basic... score ZABOJCASPAMU_AGRIBASIC 10 # ZWYCIĘSKA metoda – baw sie i zarabiaj duzo! # https://zabojcaspamu.pl/zwycieska-metoda-baw-sie-i-zarabiaj-duzo/ uri ZABOJCASPAMU_JPELAZDESIGNS /adk\.jpelaezdesigns\.com/ describe ZABOJCASPAMU_JPELAZDESIGNS spam z jpelaezdesigns score ZABOJCASPAMU_JPELAZDESIGNS 10 # Regula Regul #https://zabojcaspamu.pl/regula-regul-czyli-matka-regul-czyli-ustawa-z-lipca/ body __ZABOJCASPAMU_USTAWA_I_1 /staw.{1,6} z dnia 18 lipca 2002/ body __ZABOJCASPAMU_USTAWA_I_2 /(staw.{1,8}|w my.{1,8}l przepis.{1,8}ow) o .{1,8}wiadczeniu (u|U)s.{1,8}ug (d|D)rog.{1,8} (e|E)lektroniczną/ meta __ZABOJCASPAMU_USTAWA_I __ZABOJCASPAMU_USTAWA_I_1 || __ZABOJCASPAMU_USTAWA_I_2 body __ZABOJCASPAMU_USTAWA_II_1 /18\. ?07\. ?2002/ body __ZABOJCASPAMU_USTAWA_II_2 /18 lipca 2002/ body __ZABOJCASPAMU_USTAWA_II_3 /26\.08\.2002/ body __ZABOJCASPAMU_USTAWA_II_4 /osiemnastego VII 2002/ body __ZABOJCASPAMU_USTAWA_II_5 /osiemnastego lipca 2002/ body __ZABOJCASPAMU_USTAWA_II_6 /18\-07\-2002/ body __ZABOJCASPAMU_USTAWA_II_0 /wiadczeniu (U|u)s.{1,7}ug (D|d)rog.{1,7} (E|e)lektroniczn/ meta __ZABOJCASPAMU_USTAWA_II __ZABOJCASPAMU_USTAWA_II_0 && (__ZABOJCASPAMU_USTAWA_II_1 || __ZABOJCASPAMU_USTAWA_II_2 || __ZABOJCASPAMU_USTAWA_II_3 || __ZABOJCASPAMU_USTAWA_II_4 || __ZABOJCASPAMU_USTAWA_II_5 || __ZABOJCASPAMU_USTAWA_II_6) body __ZABOJCASPAMU_DZU_01 /D\s*z\.\s*U\. z 2002\s*r(,|\.) nr 144 poz\.\s*1204/ body __ZABOJCASPAMU_DZU_02 /D\s*z\.\s*U\.\s*(N|n)r\s*144(,?\s*poz\.\s*1204|z 2002)/ body __ZABOJCASPAMU_DZU_03 /Dziennik Ustaw nr 144, poz 1204/ body __ZABOJCASPAMU_DZU_04 /Dz\.\s*U\.\s*144 poz\.\s*1204/ body __ZABOJCASPAMU_DZU_05 /Dz\. U\. z 2002 r\. nr 144 poz\. 1204/ body __ZABOJCASPAMU_DZU_06 /Dz\.U\s*144 poz\s*.? 204/ body __ZABOJCASPAMU_DZU_08 /zienik ustaw z 2002r\.? nr sto czterdzie.{1,8}ci cztery, pozycja tysi.{1,8}c dwie.{1,8}cie cztery/ body __ZABOJCASPAMU_DZU_09 /Dz\. U\. 2002 144\.1204/ body __ZABOJCASPAMU_DZU_10 /Dz\. U\. Nr 144 z 9 wrzesnia 2002 r\.\, poz\. 1204/ body __ZABOJCASPAMU_DZU_11 /dnia 29 sierpnia 1997\s*r\. o ochronie danych/ body __ZABOJCASPAMU_DZU_12 /Dz\.U\. z 2002 r\. Nr 144, poz\. 1204/ meta __ZABOJCASPAMU_DZU144 (__ZABOJCASPAMU_DZU_01 || __ZABOJCASPAMU_DZU_02 || __ZABOJCASPAMU_DZU_03 || __ZABOJCASPAMU_DZU_04 || __ZABOJCASPAMU_DZU_05 || __ZABOJCASPAMU_DZU_06 || __ZABOJCASPAMU_DZU_07 || __ZABOJCASPAMU_DZU_08 || __ZABOJCASPAMU_DZU_09 || __ZABOJCASPAMU_DZU_10 || __ZABOJCASPAMU_DZU_11 || __ZABOJCASPAMU_DZU_12) meta ZABOJCASPAMU_USTAWAANTYSPAM __ZABOJCASPAMU_USTAWA_I || __ZABOJCASPAMU_USTAWA_II || __ZABOJCASPAMU_DZU144 describe ZABOJCASPAMU_USTAWAANTYSPAM Ustawa 18.07.2002 lub DzU 144 (ustawa antyspam) score ZABOJCASPAMU_USTAWAANTYSPAM 10 # Wzmocnienei regul # https://zabojcaspamu.pl/wsmocnienie-regul/ meta ZABOJCASPAMU_TWO_REDDCC ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR) describe ZABOJCASPAMU_TWO_REDDCC ( DCC_CHECK && ZABOJCASPAMU_RED_COLOR) score ZABOJCASPAMU_TWO_REDDCC 2 header __ZABOJCASPAMU_SPF_REQ_2_1 From:addr=~/(dhl\.com|dhl\.pl|poczta\-polska\.pl|inpost\.pl|paczkomaty\.pl)/ header __ZABOJCASPAMU_SPF_REQ_2_2 ALL=~/(spf|SPF)(=|:) *pass.+\@(dhl\.com|dhl\.pl|poczta\-polska\.pl|inpost\.pl|paczkomaty\.pl)/ meta ZABOJCASPAMU_SPF_REQ_2 __ZABOJCASPAMU_SPF_REQ_2_1 && ! __ZABOJCASPAMU_SPF_REQ_2_2 describe ZABOJCASPAMU_SPF_REQ_2 Wymagane SPF dla domen score ZABOJCASPAMU_SPF_REQ_2 5 #kampanie reklampowe uri ZABOJCASPAMU_KOMPANIE_REKLAMOWE /(news\.chilimail\.pl|interactive\-partners\.me|olix\-polska\.com|instytut\-marketingu\.com|kompass\.com|supermarketf\.nazwa\.pl|snd24\.com\.pl|augustnews1\.com|readersdigest\.mailnews\.pl|mediamail24\.pl|greensender\.pl|\.gwdeliver.com|\.campaignmail\.pl|freshmail\.pl|readersdigest\.mailnews\.pl|net-mailto\.pl|mail-serwis\.pl|mailtpro\.pl|winimail\.pl|link-outer\.com)/ describe ZABOJCASPAMU_KOMPANIE_REKLAMOWE Zawiera linki do firm kompanii reklamowych i masowych mailingow score ZABOJCASPAMU_KOMPANIE_REKLAMOWE 2 # fajny pomysl ktory nie dziala # https://zabojcaspamu.pl/fajny-pomysl-ktory-dziala/ header __ZABOJCASPAMU_FAKE_FROM_1 From=~/[\w+.-]+\@([\w.-]+\.\w\w+)["'`\s]*<\s*[\w+.-]+\@\1>/ header __ZABOJCASPAMU_FAKE_FROM_2 From=~/\@(.+?)"? +<.+>/ meta ZABOJCASPAMU_FAKE_FROM __ZABOJCASPAMU_FAKE_FROM_2 && !__ZABOJCASPAMU_FAKE_FROM_1 describe ZABOJCASPAMU_FAKE_FROM Pomieszanie z domenami w polu From score ZABOJCASPAMU_FAKE_FROM 0.1 # Podszywanie sie pod PKO BP. # https://zabojcaspamu.pl/podszywanie-sie-pko-bp/ header __ZABOJCASPAMU_PKOBP_FAKE_FROM1 From=~/PKO Bank Polski/ header __ZABOJCASPAMU_PKOBP_FAKE_FROM2 From:addr=~/\@(ipko\.pl|pkobp\.pl)$/ meta ZABOJCASPAMU_PKOBP_FAKE __ZABOJCASPAMU_PKOBP_FAKE_FROM1 && !__ZABOJCASPAMU_PKOBP_FAKE_FROM2 # Payment details # https://zabojcaspamu.pl/payment-details/ mimeheader ZABOJCASPAMU_PAYMENT_DETAILS_ZIP Content-Type =~ /payment_details_\d\d\d\d\d\d.zip/ describe ZABOJCASPAMU_PAYMENT_DETAILS_ZIP Mail z payment details zip score ZABOJCASPAMU_PAYMENT_DETAILS_ZIP 0.1 describe ZABOJCASPAMU_PKOBP_FAKE Ktos sie pdoszywa pod pkobb score ZABOJCASPAMU_PKOBP_FAKE 5.0 # Sprawdzanei domen czy maja DKIM # https://zabojcaspamu.pl/sprawdzanie-podpisania-wiadomosci-dkimem/ ifplugin Mail::SpamAssassin::Plugin::DKIM header __ZABOJCASPAMU_DOMAIN_MUST_HAVE_DKIM_FROM from:addr=~/\@(yahoo\.com|firma\.interia\.pl|facebookmail\.com|visa\.com|olx\.pl|interia\.pl|interia\.eu|wp\.pl|gmail\.com|pl\.orange\.com|sodexo\.com|poczta-polska\.pl|allegro\.pl)$/ meta ZABOJCASPAMU_DOMAIN_MUST_HAVE_DKIM __LOCAL_DOMAIN_MUST_HAVE_DKIM_FROM && !DKIM_SIGNED && !DKIM_VALID score ZABOJCASPAMU_DOMAIN_MUST_HAVE_DKIM 0.1 endif header ZABOJCASPAMU_PRZESYLKA_NIE_DOSTARCZONA Subject=~/[A-Z]{2}\d+PL (przesylka nie zostala dostarczona do ciebie|Przesylka nie moze zostac dostarczona)/ describe ZABOJCASPAMU_PRZESYLKA_NIE_DOSTARCZONA Ransomware na poczte Polska score ZABOJCASPAMU_PRZESYLKA_NIE_DOSTARCZONA 10 # Ataki na Banki # https://zabojcaspamu.pl/ataki-banki-male-podsumowanie/ header __ZABOJCASPAMU_ATAKI_NA_BANKI_BLOKADA Subject=~/^(Blokada|Weryfikacja|Autoryzacja)/ header __ZABOJCASPAMU_ATAKI_NA_BANKI_BANKI Subject=~/^(Blokada|Weryfikacja|Autoryzacja|Nowa wiadomosc)/ header __ZABOJCASPAMU_ATAKI_NA_BANKI_XMAILER X-Mailer=~ /Microsoft Outlook Express 6\.00\./ meta ZABOJCASPAMU_ATAKI_NA_BANKI __ZABOJCASPAMU_ATAKI_NA_BANKI_BLOKADA && __ZABOJCASPAMU_ATAKI_NA_BANKI_BANKI &&__ZABOJCASPAMU_ATAKI_NA_BANKI_XMAILER && ZABOJCASPAMU_MSID_NODOT describe ZABOJCASPAMU_ATAKI_NA_BANKI Próba taki na banki score ZABOJCASPAMU_ATAKI_NA_BANKI 10 #maile ze Stuff # https://zabojcaspamu.pl/wysyp-maili-ze-stuff-ze-dla/ header __ZABOJCASPAMU_TO_TOO_MANY_STUFFv1 To =~ /(?:,[^,]{1,80}){3}/ header __ZABOJCASPAMU_STUFFv1_SUBJECT1 Subject=~/ stuff/ header __ZABOJCASPAMU_STUFFv1_SUBJECT2 Subject=~/(cool|useful|new|found|great)/ meta ZABOJCASPAMU_STUFFv1 __ZABOJCASPAMU_TO_TOO_MANY_STUFFv1 && __ZABOJCASPAMU_STUFFv1_SUBJECT1 && __ZABOJCASPAMU_STUFFv1_SUBJECT2 describe ZABOJCASPAMU_STUFFv1 Wiadomosc stuff score ZABOJCASPAMU_STUFFv1 10 # Cos jest wspaniale # https://zabojcaspamu.pl/kolejne-serie-maili/ rawbody __ZABOJCASPAMU_FORYOUONLYv1_1 /urn:schemas-microsoft-com:vml/ rawbody __ZABOJCASPAMU_FORYOUONLYv1_2 /font\-family:\"Cambria Math\"/ rawbody __ZABOJCASPAMU_FORYOUONLYv1_3 /font\-family\:Calibri\;/ rawbody __ZABOJCASPAMU_FORYOUONLYv1_4 /margin\:2\.0cm 42\.5pt 2.0cm 3\.0cm;/ rawbody __ZABOJCASPAMU_FORYOUONLYv1_5 /color:\#0563C1;/ header __ZABOJCASPAMU_FORYOUONLYv1_TOO_MANY To =~ /(?:,[^,]{1,80}){3}/ meta ZABOJCASPAMU_FORYOUONLYv1 __ZABOJCASPAMU_FORYOUONLYv1_1 && __ZABOJCASPAMU_FORYOUONLYv1_2 && __ZABOJCASPAMU_FORYOUONLYv1_3 && __ZABOJCASPAMU_FORYOUONLYv1_4 && __ZABOJCASPAMU_FORYOUONLYv1_5 && __ZABOJCASPAMU_FORYOUONLYv1_TOO_MANY describe ZABOJCASPAMU_FORYOUONLYv1 Wiadomosci ze tylko dla ciebie i takie tam score ZABOJCASPAMU_FORYOUONLYv1 10 # Wysyp maili ze skryptami VBS INVOICE # https://zabojcaspamu.pl/wysyp-maili-ze-skryptami-vbs-invoice/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader mimeheader ZABOJCASPAMU_INVOICE_VBS Content-Type =~ /(INVOICE_\d+_[a-z.-]+|[a-z.-]+_INVOICE\d+)\.zip/ describe ZABOJCASPAMU_INVOICE_VBS Mail z INVOICE score ZABOJCASPAMU_INVOICE_VBS 10 endif # Maile z zalacznikiem CONTRACT # https://zabojcaspamu.pl/maile-zalacznikiem-contract/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader mimeheader ZABOJCASPAMU_CONTRACT_VBS Content-Type =~ /CONTRACT_\d+_[a-z].zip/ describe ZABOJCASPAMU_CONTRACT_VBS Mail z CONTRACT score ZABOJCASPAMU_CONTRACT_VBS 10 endif # https://zabojcaspamu.pl/maile-z-pge/ # Maile z PGE, proba wymuszenia header ZABOJCASPAMU_EFAKTURA_ZA_ENERGIE Subject =~ /aktura za energie elektryczna \d{10}/ describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIE Szyfrowanie plikow na fakture https://zaufanatrzeciastrona.pl/post/uwaga-na-falszywe-faktury-za-energi e-elektryczna-od-pge/ score ZABOJCASPAMU_EFAKTURA_ZA_ENERGIE 10 # Faktury z PGE sprawdzanie adresu nadawcy # https://zabojcaspamu.pl/faktury-pge-sprawdzanie-adresu-nadawcy/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2_1 From=~/(PGE\-eBOK|Faktura PGE|PGE eBOK|eBOK PGE|gkpge\.pl eBOK)/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2_2 From:addr=~/pge-efaktura\@bluemedia.pl/ meta ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2 __LOCAL_EFAKTURA_ZA_ENERGIEv2_1 && ! __LOCAL_EFAKTURA_ZA_ENERGIEv2_2 describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2 Falszywa faktura za energie elektryczna score ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv2 15 header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_1 From=~/PGE/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_2 Subject=~/\d{10}/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_3 X-Mailer=~/(Microsoft Windows Live Mail|Microsoft Outlook Express 6\.00)/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_4 From:addr=~/pge-efaktura\@bluemedia.pl/ meta ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3 __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_1 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_2 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_3 && ! __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3_4 describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3 faktura niby za energie elektryczna score ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv3 10 header __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_FAK Subject=~/ fakture/ header __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_DIGIT Subject=~/\d{6,10}/ meta ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_FAK && __ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI_DIGIT && ZABOJCASPAMUPART_IN_SUBJECT && DATE_IN_FUTURE_06_12 describe ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI Przpomnienie o platnosci score ZABOJCASPAMU_PRZYPOMNIENIE_O_PLATNOSCI 10 #Uruchomienie kredytu gotowkowego header __ZABOJCASPAMU_PRZYZNANIE_KREDYTU_1 Subject=~/ruchomienie kredytu gotowkowego/ header __ZABOJCASPAMU_PRZYZNANIE_KREDYTU_2 From=~/Kamil Wurst/ meta ZABOJCASPAMU_PRZYZNANIE_KREDYTU __ZABOJCASPAMU_PRZYZNANIE_KREDYTU_1 && __ZABOJCASPAMU_PRZYZNANIE_KREDYTU_2 describe ZABOJCASPAMU_PRZYZNANIE_KREDYTU Przyznanie kredytu score ZABOJCASPAMU_PRZYZNANIE_KREDYTU 10 # maile z przyszlosci meta ZABOJCASPAMU_DATE_IN_FUTURE DATE_IN_FUTURE_03_06 || DATE_IN_FUTURE_03_06 ||DATE_IN_FUTURE_06_12 ||DATE_IN_FUTURE_12_24 ||DATE_IN_FUTURE_24_48 ||DATE_IN_FUTURE_48_96 ||DATE_IN_FUTURE_96_XX describe ZABOJCASPAMU_DATE_IN_FUTURE Sprawdza czy wystapila jakas DATE_IN_FUTURE score ZABOJCASPAMU_DATE_IN_FUTURE 0.01 header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_1 From=~/PGE/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_2 Subject=~/\d{10}/ body __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_3 /PGE eFaktura za energi.{1,8} elektryczn.{1,8}/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_4 From:addr=~/pge-efaktura\@bluemedia.pl/ meta ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4 __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_1 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_2 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_3 && !__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4_4 describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4 Spam PGE faktura v4 score ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv4 5 #Faktury PGE wersja nr 5 header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_1 From=~/PGE/ body __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_2 /obacz szczeg.{8,10}ow.{6,8} faktur/ rawbody __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_3 /\#f48628/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_4 From:addr=~/pge-efaktura\@bluemedia.pl/ meta ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5 __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_1 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_2 && __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_3 && !__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5_4 describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5 PGE faktura v5 score ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv5 10 #Wczorajszy wysyp PGE czyli ver 6 header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6_1 Subject=~/PGE/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6_2 From:addr=~/pge-efaktura\@bluemedia.pl/ meta ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6 __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6_1 && !__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6_2 describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6 PGE faktura v6 score ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv6 10 header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7_1 Subject=~/PGE/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7_2 From=~/PGE/ meta ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7 (__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7_1 || __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7_2) && (DCC_CHECK || PYZOR_CHECK) describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7 PGE faktura v7 score ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv7 10 header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_1 Subject=~/PGE/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_2 From=~/PGE/ header __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_3 From:addr=~/pge-efaktura\@bluemedia.pl/ meta ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8 (__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_1 || __ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_2) && !__ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8_3 describe ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8 PGE faktura v8 score ZABOJCASPAMU_EFAKTURA_ZA_ENERGIEv8 10 # Niemieccy naukowcy # https://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/ body __ZABOJCASPAMU_GIELDA_20160722_1 /\[ http:\/\/[0-9a-z.-]+\/[0-9a-z\/]+\.php\?[a-z]=\d+\&[^\s]+\s\]/ body __ZABOJCASPAMU_GIELDA_20160722_2 /ztuczn.{1,6} inteligencj|czlowiek .{1,6}pi|rogram zrobi wszystko|nwestuj.{1,6}c|owiedz si.{1,6} i zacznij|iemieccy matematycy |iemieccy uczeni|kt.{1,6}ry handluje|na gie.{1,6}dzie|rynek gie.{1,6}dowy|wszystko sam|pa niemieckich|zarabia pieniadze|bedzie zabroniony|niemieckich uczon|BankBot/ meta ZABOJCASPAMU_GIELDA_20160722 __ZABOJCASPAMU_GIELDA_20160722_1 && __ZABOJCASPAMU_GIELDA_20160722_2 describe ZABOJCASPAMU_GIELDA_20160722 Zarabiane na gieldzie, niemieccy uczeni https://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/ score ZABOJCASPAMU_GIELDA_20160722 10 body ZABOJCASPAMU_GIELDA_20160724 /\[ https:\/\/[0-9a-z.-]+\/[0-9a-z\/]+\.php\?[a-z]=\d\d\d(\&[a-zA-Z0-9]+\=[a-zA-Z0-9]+){3} \]/ describe ZABOJCASPAMU_GIELDA_20160724 Gielda ,zarabianie,niemieccy uczeni https://zabojcaspamu.pl/niemieccy-naukowcy-wymyslili-zarabiac-gieldzie/ score ZABOJCASPAMU_GIELDA_20160724 7 rawbody __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_1 /urn:schemas-microsoft-com:vml/ rawbody __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_2 /font\-family:\"Cambria Math\"/ rawbody __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_3 /font\-family\:Calibri\;/ rawbody __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_4 /margin\:2\.0cm 42\.5pt 2.0cm 3\.0cm;/ rawbody __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_5 /size\:612\.0pt 792\.0pt/ meta ZABOJCASPAMU_UNIVERSAL_HTMLv20160728 __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_1 && __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_2 && __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_3 && __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_4 && __ZABOJCASPAMU_UNIVERSAL_HTMLv20160728_5 describe ZABOJCASPAMU_UNIVERSAL_HTMLv20160728 Wiadomosci generowane https://zabojcaspamu.pl score ZABOJCASPAMU_UNIVERSAL_HTMLv20160728 15 # Podziekowania itd # https://zabojcaspamu.pl/regula-spam-gratulacjami/ header __ZABOJCASPAMU_SA_20160728_1 From=~/[A-Z]/ header __ZABOJCASPAMU_SA_20160728_2 To =~ /(?:,[^,]{1,80}){2}/ rawbody __ZABOJCASPAMU_SA_20160728_3 /\d\d\d+$/ meta ZABOJCASPAMU_SA_20160728 ! __ZABOJCASPAMU_SA_20160728_1 && __ZABOJCASPAMU_SA_20160728_2 && __ZABOJCASPAMU_SA_20160728_3 describe ZABOJCASPAMU_SA_20160728 Spam z linkiem, ze interesujace rzeczy https://zabojcaspamu.pl/regula-spam-gratulacjami/ score ZABOJCASPAMU_SA_20160728 15 #https://zabojcaspamu.pl/strzalki-adres-www/ body ZABOJCASPAMU_ARROWHTTP /==> http\:\/\// describe ZABOJCASPAMU_ARROWHTTP URL postaci ==> http score ZABOJCASPAMU_ARROWHTTP 1 #Maile z Baby Boobs header ZABOJCASPAMU_FROMBABYBOOBS From=~/Baby Boobs/ describe ZABOJCASPAMU_FROMBABYBOOBS maile w polu From ma baby Boobs score ZABOJCASPAMU_FROMBABYBOOBS 10 # https://zabojcaspamu.pl/polaczenie-dwoch-regul/ meta ZABOJCASPAMU_ARROWHTTP3FRAZY ZABOJCASPAMU_ARROWHTTP && ZABOJCASPAMU_LINK_3FRAZY describe ZABOJCASPAMU_ARROWHTTP3FRAZY Wystapienie reguly https://zabojcaspamu.pl/polaczenie-dwoch-regul/ # https://zabojcaspamu.pl/chorwacja-spam-nia-zwiazany/ header __ZABOJCASPAMU_CHORWAv1_1 From:addr=~/chorwa[a-z]{8,10}\@/ header __ZABOJCASPAMU_CHORWAv1_2 From=~/Chorwacja/ meta ZABOJCASPAMU_CHORWAv1 __ZABOJCASPAMU_CHORWAv1_1 && __ZABOJCASPAMU_CHORWAv1_2 score ZABOJCASPAMU_CHORWAv1 3 # https://zabojcaspamu.pl/maile-zalacznikiem-zip/ meta ZABOJCASPAMU_ZIP_RATWARE (RATWARE_MS_HASH || RATWARE_OUTLOOK_NONAME) && ZABOJCASPAMU_DATE_IN_FUTURE describe ZABOJCASPAMU_ZIP_RATWARE ratware score ZABOJCASPAMU_ZIP_RATWARE 10 # https://zabojcaspamu.pl/regula-spam-gratulacjami/ header __ZABOJCASPAMU_SA_20160728_1 From=~/[A-Z]/ header __ZABOJCASPAMU_SA_20160728_2 To =~ /(?:,[^,]{1,80}){2}/ rawbody __ZABOJCASPAMU_SA_20160728_3 /\d\d\d+$/ meta ZABOJCASPAMU_SA_20160728 ! __ZABOJCASPAMU_SA_20160728_1 && __ZABOJCASPAMU_SA_20160728_2 && __ZABOJCASPAMU_SA_20160728_3 # https://zabojcaspamu.pl/stara-regula-mailware/ uri EXPERIMENTAL_URI_MALWARE_BH /\.\w{2,4}\/[\d\w]{8}\/index\.html/i describe EXPERIMENTAL_URI_MALWARE_BH Possible BlackHole malware links / phishing score EXPERIMENTAL_URI_MALWARE_BH 1.0 # limit describe ZABOJCASPAMU_SA_20160728 Spam z linkiem, ze interesujace rzeczy score ZABOJCASPAMU_SA_20160728 15 score ZABOJCASPAMU_ZIP_RATWARE 10 describe ZABOJCASPAMU_CHORWAv1 Mail z loginem chorwa....wczasy w Chorwacji score ZABOJCASPAMU_ARROWHTTP3FRAZY 5 # https://zabojcaspamu.pl/neworder-resend-nowy-spam/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_NEWORDERv1_1 Subject=~/New Order/ mimeheader __ZABOJCASPAMU_NEWORDERv1_2 Content-Type =~ /ORDER\.rar/ header __ZABOJCASPAMU_NEWORDERv1_3 Subject=~/RESEND/ meta ZABOJCASPAMU_NEWORDERv1 __ZABOJCASPAMU_NEWORDERv1_1 && __ZABOJCASPAMU_NEWORDERv1_2 && __ZABOJCASPAMU_NEWORDERv1_3 describe ZABOJCASPAMU_NEWORDERv1 Plik z ORDER.rar i RESEND score ZABOJCASPAMU_NEWORDERv1 10 endif # https://zabojcaspamu.pl/spam-tematem-invoice/ header ZABOJCASPAMU_INVOICEDIGIT Subject=~/Invoice \d+/ describe ZABOJCASPAMU_INVOICEDIGIT Invoice i cyfry score ZABOJCASPAMU_INVOICEDIGIT 2 # https://zabojcaspamu.pl/order-kind-reminder/ header ORDERKINDREMINDER Subject=~/ORDER KIND REMINDER/ describe ORDERKINDREMINDER Pliki z tematem ORDER KIND REMINDER score ORDERKINDREMINDER 10 # https://zabojcaspamu.pl/spam-typu-from-russia-with-love/ header __RUSSIANWITHLOVE_1 Subject=~/^\(/ header __RUSSIANWITHLOVE_2 Subject=~/\) / rawbody __RUSSIANWITHLOVE_3 /arial\" color=\"\#333333/ meta RUSSIANWITHLOVE __RUSSIANWITHLOVE_1 && __RUSSIANWITHLOVE_2 && __RUSSIANWITHLOVE_3 describe RUSSIANWITHLOVE Wiadomosci z loginem w nawiasie score RUSSIANWITHLOVE 5 #falszywe faktury PLAYa #https://zabojcaspamu.pl/falszywe-faktury-play/ header __PLAY_20161005_1 Subject=~/Play\s+ID\:[A-Z]{3}\d+/ header __PLAY_20161005_2 From=~/Play24/ header __PLAY_20161005_3 From:addr=~/\.pl$/ meta PLAY_20161005 __PLAY_20161005_1 && __PLAY_20161005_2 && !__PLAY_20161005_3 describe PLAY_20161005 Falszywe faktury play # falszywe faktury PLAYa # https://zabojcaspamu.pl/play-nowa-wersja/ header __PLAY_20161005v2_1 Subject=~/Play\s+ID\:[A-Z]{3}\d+/ header __PLAY_20161005v2_2 From=~/Play Faktura/ header __PLAY_20161005v2_3 From:addr=~/\.pl$/ meta PLAY_20161005v2 __PLAY_20161005v2_1 && __PLAY_20161005v2_2 && !__PLAY_20161005v2_3 #beC Messenger – wysylka spamu #https://zabojcaspamu.pl/bec-messenger-wysylka-spamu/ header ZABOJCASPAMU_XM_EC_MESSENGER X-Mailer =~ /\beC-Messenger\b/ describe ZABOJCASPAMU_XM_EC_MESSENGER eC-Messenger bulk mail service score ZABOJCASPAMU_XM_EC_MESSENGER 2 #Odmowa w w tresci maila #https://zabojcaspamu.pl/odmowa-tresci-maila/ body ZABOJCASPAMU_MAIL_ODMOWA /(?:z \"ODMOWA\" w|o temacie \"Rezygnacja\"|z tematem \" Rezygnacja \|odpisa.{1,8} USU.{1,8}\")/ describe ZABOJCASPAMU_MAIL_ODMOWA Zawiera fraze 'ODMOWA/rezygnacja/Nie w kontekscie maila' score ZABOJCASPAMU_MAIL_ODMOWA 3 #Duzo znakow niealfanumerycznych w loginie maila #https://zabojcaspamu.pl/duzo-znakow-niealfanumerycznych-loginie-maila/ header ZABOJCASPAMU_MANY_NOALPHA_LOGIN From:addr =~ /[\-\_].+[\-\_].+\@/ describe ZABOJCASPAMU_MANY_NOALPHA_LOGIN From: many sign non alphanumeric in login score ZABOJCASPAMU_MANY_NOALPHA_LOGIN 0.2 #Falszywe faktury z Playa #https://zabojcaspamu.pl/falszywe-faktury-playa/ header __PLAY_20161204_1 Reply-To=~/play4\.pl/ header __PLAY_20161204_2 Subject=~/Twoja nowa faktura za telefon [A-Z]{3}\d{10}/ meta ZABOJCASPAMU_PLAY_20161204 __PLAY_20161204_1 && __PLAY_20161204_2 describe ZABOJCASPAMU_PLAY_20161204 falszywe fakture 2016-12-03 score ZABOJCASPAMU_PLAY_20161204 5 #Doc podwojnie zzipowany #https://zabojcaspamu.pl/doc-podwojnie-zzipowany/ mimeheader ZABOJCASPAMU_MONEY_20161219 Content-Type =~ /MONEY-\d\d\d\d\d\d\d\.zip/ describe ZABOJCASPAMU_MONEY_20161219 Mail z money zip score ZABOJCASPAMU_MONEY_20161219 10 describe PLAY_20161005v2 Falszywe faktury play score PLAY_20161005v2 10 score PLAY_20161005 10 #najpopularniejsze slowa w tematach #https://zabojcaspamu.pl/najpopularniejsze-slowa-tematach-spamu/ header ZABOJCASPAMU_POPWORDS_SUBJ Subject=~/(?:sprawd.{1,8}| wyprzeda.{1,8}| stuff | weso.{1,8}ych | happy | oferta | podaru j wypr.{1,8}buj | orgazm | taniej | darmowa)/ describe ZABOJCASPAMU_POPWORDS_SUBJ najpopularniejsze slowa wtematach ze spamem score ZABOJCASPAMU_POPWORDS_SUBJ 0.5 # Temat ktory na poczatku ma nawias. # https://zabojcaspamu.pl/temat-ktory-poczatku-nawias/ header ZABOJCASPAMU_TEMAT_NAWIAS Subject=~/^\([a-z]+\) / describe ZABOJCASPAMU_TEMAT_NAWIAS temat zaczyna sie od nawiasu score ZABOJCASPAMU_TEMAT_NAWIAS 0.5 # Kolejna regula wzmacniajaca # https://zabojcaspamu.pl/kolejna-regula-wzmacniajaca-3/ meta ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE) describe ZABOJCASPAMU_TWO_5358 ( FUZZY_CREDIT && HTML_MESSAGE) score ZABOJCASPAMU_TWO_5358 0.5 # Zarabianie pieniedzy w prosty sposob # https://zabojcaspamu.pl/zarabianie-pieniedzy-prosty-sposob/ header __ZABOJCASPAMU_ZARABIANIE_DZIECKO_1 Subject=~/^Re:/ rawbody __ZABOJCASPAMU_ZARABIANIE_DZIECKO_2 /\<\!-- NAME: 1 COLUMN --\>/ rawbody __ZABOJCASPAMU_ZARABIANIE_DZIECKO_3 /\<\!--\[if gte mso 15\]\>/ rawbody __ZABOJCASPAMU_ZARABIANIE_DZIECKO_4 /color:\#202020;/ rawbody __ZABOJCASPAMU_ZARABIANIE_DZIECKO_5 /border-bottom:2px solid \#EAEAEA;/ meta ZABOJCASPAMU_ZARABIANIE_DZIECKO __ZABOJCASPAMU_ZARABIANIE_DZIECKO_2 && __ZABOJCASPAMU_ZARABIANIE_DZIECKO_3 && __ZABOJCASPAMU_ZARABIANIE_DZIECKO_4 && __ZABOJCASPAMU_ZARABIANIE_DZIECKO_5 describe ZABOJCASPAMU_ZARABIANIE_DZIECKO https://zabojcaspamu.pl/zarabianie-pieniedzy-prosty-sposob/ score ZABOJCASPAMU_ZARABIANIE_DZIECKO 10 # zarabianie sposob nr 2 # https://zabojcaspamu.pl/zarabianie-pieniedzy-sposob-nr-2/ rawbody ZABOJCASPAMU_ZARABIANIE_URL2IMG /http:\/\/img\d+\.uploadhouse\.com\/fileuploads/ describe ZABOJCASPAMU_ZARABIANIE_URL2IMG https://zabojcaspamu.pl/zarabianie-pieniedzy-sposob-nr-2/ score ZABOJCASPAMU_ZARABIANIE_URL2IMG 5 # Falszywe informacje z FB # https://zabojcaspamu.pl/falszywe-informacje-fb/ header __ZABOJCASPAMU_FAKE_FACEBOOK_1 From=~/^[\s"]*Facebook/ header __ZABOJCASPAMU_FAKE_FACEBOOK_2 From:addr=~/facebookmail\.com/ meta ZABOJCASPAMU_FAKE_FACEBOOK __ZABOJCASPAMU_FAKE_FACEBOOK_1 && !__ZABOJCASPAMU_FAKE_FACEBOOK_2 describe ZABOJCASPAMU_FAKE_FACEBOOK Mozliwy facebook spoofing score ZABOJCASPAMU_FAKE_FACEBOOK 1.5 # Potwierdzenie transakcji na PayU # https://zabojcaspamu.pl/potwierdzenie-transakcji-payu/ header __ZABOJCASPAMU_PAYU_FAKE_20170313_1 Subject=~/Payu - Potwierdzenie/ body __ZABOJCASPAMU_PAYU_FAKE_20170313_2 /Numer transakcji: C B9BC XX835695707XX \(PL\)/ meta ZABOJCASPAMU_PAYU_FAKE_20170313 __ZABOJCASPAMU_PAYU_FAKE_20170313_1 && __ZABOJCASPAMU_PAYU_FAKE_20170313_2 describe ZABOJCASPAMU_PAYU_FAKE_20170313 https://zabojcaspamu.pl/potwierdzenie-transakcji-payu/ score ZABOJCASPAMU_PAYU_FAKE_20170313 10 # Falszywe informacje o platnosci PayU i Tpay # https://zabojcaspamu.pl/falszywe-informacje-o-platnosci-payu-o-tpay/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader mimeheader ZABOJCASPAMU_FAKE_PAYU_CT Content-Type=~ /"Potwierdzenie .+? PDF\.js/ mimeheader ZABOJCASPAMU_FAKE_TPAY_CT Content-Type=~ /_PDF\s+tpay\.com\.js/ meta ZABOJCASPAMU_FAKE_TPAY_PAYU ZABOJCASPAMU_FAKE_PAYU_CT || ZABOJCASPAMU_FAKE_TPAY_CT describe ZABOJCASPAMU_FAKE_TPAY_PAYU https://zabojcaspamu.pl/falszywe-informacje-o-platnosci-payu-o-tpay/ score ZABOJCASPAMU_FAKE_TPAY_PAYU 10 endif # Dowod zakupu do zamowienia # https://zabojcaspamu.pl/dowod-zakupu-zamowienia/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE_SUB Subject =~/Dow.{1,8}d zakupu do zam.{1,8}wienia nr \d+/ mimeheader __ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE_DOC Content-Type=~ /oryginal\-[a-f0-9]{8}\-[a-f0-9]{4}\-[a-f0-9]{4}\-[a-f0-9]{4}\-[a-f0-9]{12}\.doc/ meta ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE __ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE_SUB && __ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE_DOC describe ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE Falszywy dowod zakupu score ZABOJCASPAMU_DOWOD_ZAKUPU_FAKE 10 endif # PD: Brakujacy numer faktury # https://zabojcaspamu.pl/pd-brakujacy-numer-faktury/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_BRAKUJACAFAKTURA_SUB Subject =~/PD: Brakuj.{1,8}cy numer faktury/ mimeheader __ZABOJCASPAMU_BRAKUJACAFAKTURA_DOC Content-Type=~ /\"\d+\.doc/ rawbody __ZABOJCASPAMU_BRAKUJACAFAKTURA_BODY /Nawi.{1,8}zuj.{1,8}c do rozmowy telefonicznej wysy.{1,8}am faktur.{1,8} z brakuj.{1,8}cym numerem\./ meta ZABOJCASPAMU_BRAKUJACAFAKTURA __ZABOJCASPAMU_BRAKUJACAFAKTURA_SUB && __ZABOJCASPAMU_BRAKUJACAFAKTURA_DOC && __ZABOJCASPAMU_BRAKUJACAFAKTURA_BODY describe ZABOJCASPAMU_BRAKUJACAFAKTURA Info o brakujacej fakturze score ZABOJCASPAMU_BRAKUJACAFAKTURA 10 endif # Prosba o zaplate #https://zabojcaspamu.pl/prosba-o-zaplate-nastepny-wysyp/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_PROSBAOZAPLATE_SUB Subject=~/Pro.{1,8}ba o zap.{1,8}at/ mimeheader __ZABOJCASPAMU_PROSBAOZAPLATE_FILE Content-Type=~ /"FV-\d\d\d-2017.doc/ meta ZABOJCASPAMU_PROSBAOZAPLATE __ZABOJCASPAMU_PROSBAOZAPLATE_SUB && __ZABOJCASPAMU_PROSBAOZAPLATE_FILE describe ZABOJCASPAMU_PROSBAOZAPLATE Prosba o zaplate score ZABOJCASPAMU_PROSBAOZAPLATE 10 endif # Przesylam fakture # https://zabojcaspamu.pl/prosba-o-zaplate/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_PRZESYLAMFAKTURE_S Subject=~/Przesy.{1,8}am faktur/ mimeheader __ZABOJCASPAMU_PRZESYLAMFAKTURE_F Content-Type=~ /"[0-9A-Z]{2}2017\.\d\d\-\d\d\.doc/ meta ZABOJCASPAMU_PRZESYLAMFAKTURE __ZABOJCASPAMU_PRZESYLAMFAKTURE_S && __ZABOJCASPAMU_PRZESYLAMFAKTURE_F describe ZABOJCASPAMU_PRZESYLAMFAKTURE Prosba o zaplate faktury score ZABOJCASPAMU_PRZESYLAMFAKTURE 10 endif # reguła dla koliby # https://zabojcaspamu.pl/ciekawy-przypadek-oooilo-pl/ rawbody ZABOJCASPAMU_KOLIBA /Ta wiadomo.{1,8} zosta.{1,8}a wys.{1,8}ana przez kolibe na zlecenie/ describe ZABOJCASPAMU_KOLIBA Wysłane przez spamera kolibe score ZABOJCASPAMU_KOLIBA 5 # falszywe maile z inpost # https://zabojcaspamu.pl/falszywe-przesylki-inpost/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_INPOST_20170418_S Subject=~/Kurier\. paczka kurierska/ mimeheader __ZABOJCASPAMU_INPOST_20170418_C Content-Type=~/application\/msword/ meta ZABOJCASPAMU_INPOST_20170418 __ZABOJCASPAMU_INPOST_20170418_S && __ZABOJCASPAMU_INPOST_20170418_C describe ZABOJCASPAMU_INPOST_20170418 falszywa informacja o paczce inpost score ZABOJCASPAMU_INPOST_20170418 10 endif # Propozycje seksu # https://zabojcaspamu.pl/propozycje-seksu/ uri ZABOJCASPAMU_SEX_20170419 /\.php\?[a-z]=61&3SQwxoyu/ describe ZABOJCASPAMU_SEX_20170419 Podejrzany link z propozycjami seksu score ZABOJCASPAMU_SEX_20170419 10 # falszywe faktury Multidemia Polska # https://zabojcaspamu.pl/falszywe-faktury-multimedia-polska/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_MULTIMEDIA_FVAT_S Subject=~/Nowa eFaktura dostepna w eBOK Multimedia Polska/ mimeheader __ZABOJCASPAMU_MULTIMEDIA_FVAT_M Content-Type=~/eFaktura-FVT_[A-Z]{3}_\d+_\d+\.7z/ meta ZABOJCASPAMU_MULTIMEDIA_FVAT __LOCAL_MULTIMEDIA_FVAT_S && __LOCAL_MULTIMEDIA_FVAT_M describe ZABOJCASPAMU_MULTIMEDIA_FVAT falszywa faktura Multimedia Polska score ZABOJCASPAMU_MULTIMEDIA_FVAT 10 endif # Message ID z adresem ip # https://zabojcaspamu.pl/message-id-adresem-ip-zamiast-hosta/ header ZABOJCASPAMU_MESSAGEID_IP Message-ID=~/\@\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}/ describe ZABOJCASPAMU_MESSAGEID_IP Message-ID zamiast hosta adres IP score ZABOJCASPAMU_MESSAGEID_IP 0.2 #Phish IP # header ZABOJCASPAMU_IP_PHISH Received=~/149\.56\.201\.93/ describe ZABOJCASPAMU_IP_PHISH Phish z adresu ip 149.56.201.93 score ZABOJCASPAMU_IP_PHISH 10 #Rosyjski spam # https://zabojcaspamu.pl/rosyjski-spam/ header __ZABOJCASPAMU_User54377_1 From=~ /User\[54377\]/ header __ZABOJCASPAMU_User54377_2 Reply-To=~ /User\[54377\]/ meta ZABOJCASPAMU_User54377 __ZABOJCASPAMU_User54377_1 && __ZABOJCASPAMU_User54377_2 describe ZABOJCASPAMU_User54377 Spam User54377 score ZABOJCASPAMU_User54377 10 #falszywe fakury Plusnet # https://zabojcaspamu.pl/falszywe-faktury-plusnet/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_PLUSNET_FVAT_S Subject=~/Faktura, zam.{1,8}wienie \d+/ mimeheader __ZABOJCASPAMU_PLUSNET_FVAT_M Content-Type=~/Faktura\d+\.doc/ body __ZABOJCASPAMU_PLUSNET_FVAT_B /Prosz.{1,8} o wystawienie faktury VAT za zam.{1,8}wienie \d+\. Nie zosta.{1,8}a ona za.{1,8}czona do przesy.{1,8}ki/i meta ZABOJCASPAMU_PLUSNET_FVAT __ZABOJCASPAMU_PLUSNET_FVAT_S && __ZABOJCASPAMU_PLUSNET_FVAT_M && __ZABOJCASPAMU_PLUSNET_FVAT_B describe ZABOJCASPAMU_PLUSNET_FVAT falszywa faktura Plusnet score ZABOJCASPAMU_PLUSNET_FVAT 10 endif #Spam bandycituska # https://zabojcaspamu.pl/belkotliwy-spam/ rawbody __ZABOJCASPAMU_BANDYCI_1 /font:11px sans-serif/ uri __ZABOJCASPAMU_BANDYCI_2 /bandycituska\.pl/ meta ZABOJCASPAMU_BANDYCI __ZABOJCASPAMU_BANDYCI_1 && __ZABOJCASPAMU_BANDYCI_2 describe ZABOJCASPAMU_BANDYCI Terie spiskowe ze strony bandycituska.pl score ZABOJCASPAMU_BANDYCI 5 # # Spam z nacionale Niderlanden # https://zabojcaspamu.pl/atak-podszywajacy-sie-polise-nationale-nederlanden/ ifplugin Mail::SpamAssassin::Plugin::MIMEHeader header __ZABOJCASPAMU_POLISA_NN_S Subject=~/^Polisa nr \d+/ mimeheader __ZABOJCASPAMU_POLISA_NN_C Content-Type=~ /Polisa nr \d+ PDF\.zip/ meta ZABOJCASPAMU_POLISA_NN __ZABOJCASPAMU_POLISA_NN_S && __ZABOJCASPAMU_POLISA_NN_C describe ZABOJCASPAMU_POLISA_NN falszywe polisy z NN score ZABOJCASPAMU_POLISA_NN 10 endif #znaki graficzne na początku tematu #https://zabojcaspamu.pl/znaki-graficzne-poczatku-tematu/ header __LOCAL_ZNAKIGRAFICZNE1 Subject:raw=~/=\?(UTF|utf)-8\?Q\?=E2=/ header __LOCAL_ZNAKIGRAFICZNE2 Subject:raw=~/=\?(UTF|utf)-8\?Q\?=F0=/ header __LOCAL_ZNAKIGRAFICZNE3 Subject:raw=~/=\?(UTF|utf)-8\?B\?4(p|q)/ meta LOCAL_ZNAKIGRAFICZNE __LOCAL_ZNAKIGRAFICZNE1 || __LOCAL_ZNAKIGRAFICZNE2 || __LOCAL_ZNAKIGRAFICZNE3 describe LOCAL_ZNAKIGRAFICZNE Znak graficzny na poczatku tematu score LOCAL_ZNAKIGRAFICZNE 2.0 #mail od administratora # https://zabojcaspamu.pl/wazny-mail-administratora/ header ZABOJCASPAMU_FROM_ADMINISTRATOR From=~/Administrator/ describe ZABOJCASPAMU_FROM_ADMINISTRATOR Mail od administratora? Nie sadze score ZABOJCASPAMU_FROM_ADMINISTRATOR 5 #Maile do recpients # https://zabojcaspamu.pl/a-mailami-recipients/ header ZABOJCASPAMU_TO_RECIPIENTS To=~/Recipients / describe ZABOJCASPAMU_TO_RECIPIENTS Mail do recpients score ZABOJCASPAMU_TO_RECIPIENTS 1 #Piotr N i jego przesladowcy # https://zabojcaspamu.pl/nawiedzony-spam-atakuje/ body __ZABOJCASPAMU_PIOTRN_TORTURY1 / tortur/ body __ZABOJCASPAMU_PIOTRN_TORTURY2 /pods.{1,8}uch/ body __ZABOJCASPAMU_PIOTRN_TORTURY3 /Piotr(a|ze|owi|) Ni.{1,8}y.{1,8}sk/ meta ZABOJCASPAMU_PIOTRN_TORTURY __ZABOJCASPAMU_PIOTRN_TORTURY1 && __ZABOJCASPAMU_PIOTRN_TORTURY2 && __ZABOJCASPAMU_PIOTRN_TORTURY3 describe ZABOJCASPAMU_PIOTRN_TORTURY O torturach Piotr N i takie tam score ZABOJCASPAMU_PIOTRN_TORTURY 5 header ZABOJCASPAMU_SUBJECT_DARMO Subject=~/(?: darmo| gratis|bez op.{1,8}at)/ describe ZABOJCASPAMU_SUBJECT_DARMO W temacie znajduje sie ' darmo' 'gratis' score ZABOJCASPAMU_SUBJECT_DARMO 0.5 # temat ma minus i procenty # https://zabojcaspamu.pl/temacie-minus-cyfry-procent/ header ZABOJCASPAMU_TEMATMINUSCYFRY Subject=~/\-\d+\%/ describe ZABOJCASPAMU_TEMATMINUSCYFRY W temacie -\d\d% score ZABOJCASPAMU_TEMATMINUSCYFRY 0.4 #Dwa slowa w temacie wielkimi literami #https://zabojcaspamu.pl/slowa-wielkimi-literami-temacie/ header ZABOJCASPAMU_2WORDS_UPP Subject=~/[A-Z]{2,}\s.*?[A-Z]{2,}/ describe ZABOJCASPAMU_2WORDS_UPP Dwa slowa WIELKIMI literami w temacie score ZABOJCASPAMU_2WORDS_UPP 0.5 #Temat sie konczy >> # https://zabojcaspamu.pl/temat-sie-konczy-dwoma-znakami/ header ZABOJCASPAMU_SUBJ_END_2GT Subject=~/>>$/ describe ZABOJCASPAMU_SUBJ_END_2GT Temat sie konczy dwoma >> score ZABOJCASPAMU_SUBJ_END_2GT 0.3 #Mieszanie ? i ! # https://zabojcaspamu.pl/mieszanie-znakami-i/https://zabojcaspamu.pl/mieszanie-znakami-i/ header __ZABOJCASPAMU_SUBJ_QMARK_EMARK_1 Subject=~/!.{4,}!/ header __ZABOJCASPAMU_SUBJ_QMARK_EMARK_2 Subject=~/\?.{4,}\?/ header __ZABOJCASPAMU_SUBJ_QMARK_EMARK_3 Subject=~/!.{4,}\?/ header __ZABOJCASPAMU_SUBJ_QMARK_EMARK_4 Subject=~/\?.{4,}!/ meta ZABOJCASPAMU_SUBJ_QMARK_EMARK __ZABOJCASPAMU_SUBJ_QMARK_EMARK_1 || __ZABOJCASPAMU_SUBJ_QMARK_EMARK_2 || __ZABOJCASPAMU_SUBJ_QMARK_EMARK_3 || __ZABOJCASPAMU_SUBJ_QMARK_EMARK_4 describe ZABOJCASPAMU_SUBJ_QMARK_EMARK ! i pozniej ? lub kombinacja score ZABOJCASPAMU_SUBJ_QMARK_EMARK 0.2 # uknown i prywatne # https://zabojcaspamu.pl/regula-serwer-bez-revdns/ header ZABOJCASPAMU_FROM_UNKNOWN Received =~ /from .*\(unknown\s\[(?!192\.168)(?!10\.)(?!172\.(1[6-9]|2[0-9]|3[0-1]))/ describe ZABOJCASPAMU_FROM_UNKNOWN Received from unknown score ZABOJCASPAMU_FROM_UNKNOWN 1.5 # wzmocnienie dla uribl # http://zabojcaspamu.pl/uribl_blocked-dosc-fajny-rbl-czesc-2/ meta ZABOJCASPAMU_LARGEFONT_URIBL ( ZABOJCASPAMU_LARGE_SIZE_FONT && URIBL_BLOCKED) describe ZABOJCASPAMU_LARGEFONT_URIBL ( ZABOJCASPAMU_LARGE_SIZE_FONT && URIBL_BLOCKED) score ZABOJCASPAMU_LARGEFONT_URIBL 0.5 meta ZABOJCASPAMU_LOGINLONG_URIBL ( ZABOJCASPAMU_RETURN_PATH_LOGIN_LONG && URIBL_BLOCKED) describe ZABOJCASPAMU_LOGINLONG_URIBL ( ZABOJCASPAMU_RETURN_PATH_LOGIN_LONG && URIBL_BLOCKED) score ZABOJCASPAMU_LOGINLONG_URIBL 0.5 # Specyficzna budowa linku meta ZABOJCASPAMU_3FRAZY_URIBL ( ZABOJCASPAMU_LINK_3FRAZY && URIBL_BLOCKED) describe ZABOJCASPAMU_3FRAZY_URIBL ( ZABOJCASPAMU_LINK_3FRAZY && URIBL_BLOCKED) score ZABOJCASPAMU_3FRAZY_URIBL 0.5 uri ZABOJCASPAMU_LINK_3FRAZY /(\&[a-zA-Z0-9]+\=[a-zA-Z0-9]+){3}/ describe ZABOJCASPAMU_LINK_3FRAZY Link 3 frazy score ZABOJCASPAMU_LINK_3FRAZY 0.01 #Dlugi temat maila header ZABOJCASPAMU_VERY_LONG_SUBJ Subject=~/.{100,}/ describe ZABOJCASPAMU_VERY_LONG_SUBJ Bardzo dlugi temat score ZABOJCASPAMU_VERY_LONG_SUBJ 0.3 # Graficzny HIT w temacie maila # https://zabojcaspamu.pl/graficzny-hit-temacie-maila/ header ZABOJCASPAMU_BLOCKI_TEMAT Subject:raw=~/=\?UTF-8\?B\?4paI4pag4paI/ describe ZABOJCASPAMU_BLOCKI_TEMAT Znak H w base64 score ZABOJCASPAMU_BLOCKI_TEMAT 2.0 header ZABOJCASPAMU_UPPERCOLON_SUBJ Subject=~/[A-Z]{3,}+:/ describe ZABOJCASPAMU_UPPERCOLON_SUBJ Duze litery a potem dwukropek score ZABOJCASPAMU_UPPERCOLON_SUBJ 0.3 header ZABOJCASPAMU_PIPE_SUBJ Subject=~/\|/ describe ZABOJCASPAMU_PIPE_SUBJ Pipe w temacie score ZABOJCASPAMU_PIPE_SUBJ 0.3 header ZABOJCASPAMU_MISSUS Received=~/from missus\d+\.[a-z]+\.(pl|eu)/ describe ZABOJCASPAMU_MISSUS Host wysyłający z missus score ZABOJCASPAMU_MISSUS 3 # Received spamer header ZABOJCASPAMU_RECEIVED_SPAMER Received=~/(\.einternetmarketing\.net|smtp\d+\.newofficing\.pl|smtp\d+\.specialclick\.pl|smtp\d+\.mailjoker\.pl|smtp\d+\.glassclick\.pl|smtp\d+.scpectrack.pl)/ describe ZABOJCASPAMU_RECEIVED_SPAMER Spamerskei serwery w received score ZABOJCASPAMU_RECEIVED_SPAMER 5 #jobtrade uri ZABOJCASPAMU_JOBTRADE /info.jabtrade.pl\/app\/panel\/Redirect.aspx\?link_id=/ describe ZABOJCASPAMU_JOBTRADE Link do usbubsribe jobtrade score ZABOJCASPAMU_JOBTRADE 5 # numerowany serwer smtp header ZABOJCASPAMU_SMTPNUMBER Received=~/from [a-zA-Z]+\d+\./ describe ZABOJCASPAMU_SMTPNUMBER Numerowany server smtp score ZABOJCASPAMU_SMTPNUMBER 0.01 # WIELKA LITERA i wykrzyknik header ZABOJCASPAMU_UPPDIS Subject=~/[A-Z]!/ describe ZABOJCASPAMU_UPPDIS WIELKA LITERA i wykrzyknik score ZABOJCASPAMU_UPPDIS 0.4 header LOCAL_TO_KLIENT To=~/(K|k)lient/ describe LOCAL_TO_KLIENT W polu To: slowo klient score LOCAL_TO_KLIENT 0.5 header LOCAL_TO_BIZNES To=~/biznesowy/ describe LOCAL_TO_BIZNES W polu To: slowo biznesowy score LOCAL_TO_BIZNES 0.3 # Mail w formacie UTF8 header LOCAL_SUBJECT_UTF8 Subject:raw=~/=\?(UTF|utf)-8\?/ describe LOCAL_SUBJECT_UTF8 temat jest w UTF8 score LOCAL_SUBJECT_UTF8 0.001 # Mail w niby regionow # https://zabojcaspamu.pl/ktos-sie-natrudzil-rejestrujac-spamerskie-smtp/ header __ZABOJCASPAMU_NIBYREGION_RECEIVED1 Received =~ /from smtp\.[^.]+?\.[^.]+?\.pl/ header __ZABOJCASPAMU_NIBYREGION_RECEIVED2 From=~/(?:bok|office|biuro)@/ meta ZABOJCASPAMU_NIBYREGION_RECEIVED __ZABOJCASPAMU_NIBYREGION_RECEIVED1 && __ZABOJCASPAMU_NIBYREGION_RECEIVED2 && DKIM_SIGNED && HTML_MESSAGE describe ZABOJCASPAMU_NIBYREGION_RECEIVED Spam wysylany przez niby regionalne servery score ZABOJCASPAMU_NIBYREGION_RECEIVED 0.7 header ZABOJCASPAMU_FROM_VPS_OVH From=~/\@vps[0-9]{1,8}\.ovh\.net$/i describe ZABOJCASPAMU_FROM_VPS_OVH From misconfigured VPS on ovh.net score ZABOJCASPAMU_FROM_VPS_OVH 10 # Przypadkowy ciag znakow w From # http://zabojcaspamu.pl/przypadkowy-ciag-znakow-loginie/ header __ZABOJCASPAMU_RANDOM_STRING_1 From:addr =~ /[bcdfghjklmnprstwqz]{6}/ header __ZABOJCASPAMU_RANDOM_STRING_2 From:addr =~ /[aeyioou]{6}/ meta ZABOJCASPAMU_RANDOM_STRING __ZABOJCASPAMU_RANDOM_STRING_1 || __ZABOJCASPAMU_RANDOM_STRING_2 describe ZABOJCASPAMU_RANDOM_STRING Random string in address score ZABOJCASPAMU_RANDOM_STRING 0.4 # Dlugi ciąg samych malych liter # http://zabojcaspamu.pl/dlugi-login-adresie/ header ZABOJCASPAMU_LONG_LOGIN_IN_FROM From:addr =~ /[a-z]{15}/ describe ZABOJCASPAMU_LONG_LOGIN_IN_FROM Long at row [a-z] score ZABOJCASPAMU_LONG_LOGIN_IN_FROM 0.3 # Dlugi login i przypadkowy ciag znaków # http://zabojcaspamu.pl/dlugi-login-przypadkowy-ciag-znakow/ meta ZABOJCASPAMU_RANDOM_LONG_FROM ZABOJCASPAMU_RANDOM_STRING && (ZABOJCASPAMU_LONG_LOGIN_IN_FROM || HK_RANDOM_ENVFROM) describe ZABOJCASPAMU_RANDOM_LONG_FROM Random and long From login score ZABOJCASPAMU_RANDOM_LONG_FROM 1.2 # Skracacze linkow # https://zabojcaspamu.pl/skracacze-linkow/ uri_detail ZABOJCASPAMU_SERVICE_SHORT_URL domain =~ /^(1sl.pl|goo.gl|bitly.com|bit.ly|is.gd|tinyurl.com|ow.ly|buff.ly|bit.do|tiny.cc|shorturl.at|soo.gd|s2r.co|clicky.me|budurl.com|bc.vc|youtu.be|x.co)$/ describe ZABOJCASPAMU_SERVICE_SHORT_URL Service short urls for example goo.gl, bitly.com etc score ZABOJCASPAMU_SERVICE_SHORT_URL 0.3 # Message-ID w formie pseudo IP # http://zabojcaspamu.pl/message-id-w-formie-pseudo-ip/ header ZABOJCASPAMU_MSID_LIKEIP Message-ID=~/\@\d+-\d+-\d+-\d+>$/ describe ZABOJCASPAMU_MSID_LIKEIP Message-ID Domena w Message-ID jak IP 1-2-3-4 score ZABOJCASPAMU_MSID_LIKEIP 1.5 # Grzybica, podlewanie, klimatyzator i inne badziewia # http://zabojcaspamu.pl/grzybica-podlewanie-klimatyzator-i-inne-badziewia/ header ZABOJCASPAMU_RECEIVED_COM Received =~ /\.com / describe ZABOJCASPAMU_RECEIVED_COM Domain in received com score ZABOJCASPAMU_RECEIVED_COM 0.01 meta ZABOJCASPAMU_NATARCZYWYSPAM_1 (ZABOJCASPAMU_RANDOM_STRING || HK_RANDOM_ENVFROM) && ZABOJCASPAMU_FROM_UNKNOWN && ZABOJCASPAMU_RECEIVED_COM describe ZABOJCASPAMU_NATARCZYWYSPAM_1 Spam grzybica, detektor, klimatyzator ...(rodzaj 1) score ZABOJCASPAMU_NATARCZYWYSPAM_1 10 uri __URI_LINK_USUB_NATARCZYWY /ub\.php\?[a-z0-9]{3}=/ meta ZABOJCASPAMU_NATARCZYWYSPAM_1_2 __URI_LINK_USUB_NATARCZYWY && ZABOJCASPAMU_FROM_UNKNOWN && ZABOJCASPAMU_RECEIVED_COM describe ZABOJCASPAMU_NATARCZYWYSPAM_1_2 Spam grzybica, detektor, klimatyzator ...(rodzaj 1 uknown z linkiem) score ZABOJCASPAMU_NATARCZYWYSPAM_1_2 3 header __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 Received =~ /from ([^.]+)\.[a-z]+\.com \(\1\.[a-z]+\.com/ header __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 Received =~ /from [^.]+\.([a-z]+)\.com \([^.]+\.\1\.com/ meta ZABOJCASPAMU_NATARCZYWYSPAM_2_1 __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && ! __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && (ZABOJCASPAMU_RANDOM_STRING || HK_RANDOM_ENVFROM) describe ZABOJCASPAMU_NATARCZYWYSPAM_2_1 Spam grzybica, detektor, klimatyzator ... (rodzaj 2) score ZABOJCASPAMU_NATARCZYWYSPAM_2_1 10 meta ZABOJCASPAMU_NATARCZYWYSPAM_2_S __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && ! __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && ZABOJCASPAMU_LONG_LOGIN_IN_FROM describe ZABOJCASPAMU_NATARCZYWYSPAM_2_S Spam grzybica, detektor, klimatyzator ... (rodzaj 2 Soft) score ZABOJCASPAMU_NATARCZYWYSPAM_2_S 1.8 meta ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT __ZABOJCASPAMU_NATARCZYWYSPAM_2_1 && ! __ZABOJCASPAMU_NATARCZYWYSPAM_2_2 && __URI_LINK_USUB_NATARCZYWY describe ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT Spam grzybica, detektor, klimatyzator ... (rodzaj 2 Very Soft) score ZABOJCASPAMU_NATARCZYWYSPAM_2_VSOFT 1 header ZABOJCASPAMU_SPAM_FAKTURA Subject=~/faktur.{1,50}/i score ZABOJCASPAMU_SPAM_FAKTURA 0.006 mimeheader ZABOJCASPAMU_SPAM_FAKTURA2 Content-Type =~ /faktur.{1,20}\.(rar|zip)/i meta ZABOJCASPAMU_SPAM_FAKTURA_ALL ZABOJASPAMU_SPAM_FAKTURA && ZABOJASPAMU_SPAM_FAKTURA2 describe ZABOJCASPAMU_SPAM_FAKTURA_ALL Fake faktura score ZABOJCASPAMU_SPAM_FAKTURA_ALL 10 header ZABOJASPAMU_SPAM_FAKTURA2_2 Subject=~/Faktu\D*\d*.(MAG|_).*/i score ZABOJASPAMU_SPAM_FAKTURA2_2 0.5 mimeheader ZABOJASPAMU_SPAM_FAKTURA2_2 Content-Type =~ /faktu.{1,20}\.(rar|zip)/i meta ZABOJASPAMU_SPAM_FAKTURA2_ALL ZABOJASPAMU_SPAM_FAKTURA2 && ZABOJASPAMU_SPAM_FAKTURA2_2 describe ZABOJASPAMU_SPAM_FAKTURA2_ALL Fake faktura score ZABOJASPAMU_SPAM_FAKTURA2_ALL 10 header ZABOJCASPAMU_MAIL_FROM_ICU Received=~/\s[a-z]+\.[a-z]+\.icu \([a-z]+\.[a-z]+\.com / describe ZABOJCASPAMU_MAIL_FROM_ICU Mail from domain .icu a revDNS .com score ZABOJCASPAMU_MAIL_FROM_ICU 2.5 rawbody __ZABOJCASPAMU_MAIL_TAKNIE_1 /[\'\"\>](TAK|NIE)[\'\"\<]/ rawbody __ZABOJCASPAMU_MAIL_TAKNIE_2 /subject\=(TAK|NIE|Tak|Nie|Zgoda|ZGODA)\W/ rawbody __ZABOJCASPAMU_MAIL_TAKNIE_3 /o tre.{1,8}ci (?:TAK|NIE) / rawbody __ZABOJCASPAMU_MAIL_TAKNIE_4 /(?:NIE w jej temacie|slowem NIE w temacie)/ rawbody __ZABOJCASPAMU_MAIL_TAKNIE_5 /odpowied.{1,8} wpisuj.{1,8}c \"nie\"/ rawbody __ZABOJCASPAMU_MAIL_TAKNIE_6 /prosimy o odpowied.{1,8} "?TAK/ rawbody __ZABOJCASPAMU_MAIL_TAKNIE_7 /">TAK\s*</ meta ZABOJCASPAMU_MAIL_TAKNIE __ZABOJCASPAMU_MAIL_TAKNIE_1 || __ZABOJCASPAMU_MAIL_TAKNIE_2 || __ZABOJCASPAMU_MAIL_TAKNIE_3 || __ZABOJCASPAMU_MAIL_TAKNIE_4 || __ZABOJCASPAMU_MAIL_TAKNIE_5 || __ZABOJCASPAMU_MAIL_TAKNIE_6 || ZABOJCASPAMU_MAIL_TAKNIE_7 describe ZABOJCASPAMU_MAIL_TAKNIE Prawdopodobny TAK lub NIE temat/tresc maila score ZABOJCASPAMU_MAIL_TAKNIE 2.5 header ZABOJCASPAMU_SUBJECT_WEIRED_STRING Subject =~ /(?: -[a-z]|[a-z]+.[a-z]+| -.| .|[a-z]\- )/ describe ZABOJCASPAMU_SUBJECT_WEIRED_STRING Weired string in Subject: [a-z]-[a-z] score ZABOJCASPAMU_SUBJECT_WEIRED_STRING 0.5