These rules may be useful for taking care of Hotmail offenders. I believe the RelayCountry plugin can address that also, in a "broad brush" fashion.
# Ruleset: jared_head.cf # Description: Jared's rules for SpamAssassin # Applicability: Southeastern US; service-oriented companies # Version: 01.021 # Created: 06/27/2006 # Modified: 01/30/2010 # License: GPL # Current Maintainer: Jared Hall # ###################################################### # Assumptions: Based on a Spam Score of 10. # English language. # Sender uses a spell checker. ###################################################### # NOTE: The following HOTMAIL_IP rulesets trigger on the X-Originating-IP header # inserted by Hotmail. Most of these are international IP addresses, and cause # me no harm (See Applicability). There are no spaces in the ruleset values. header TBI_HOTMAIL_IP X-Originating-IP =~ /\[(76\.18\.115\.122|189\.12\.163\.|218\.37\.13\.|190\.48\.130\.|24\.44\.249\.13|24\.131\.110\.47|87\.105\.214\.120|87\.2\.231\.183|76\.17\.71\.137|88\.179\.186\.222|58\.49\.166\.176|218\.163\.217\.|125\.33\.253\.|59\.12\.227\.4|211\.173\.140\.126|59\.58\.117\.|218\.233\.0\.|200\.118\.174\.|220\.120\.28\.|69\.121\.142\.117|82\.105\.73\.|121\.96\.100\.|92\.72\.201\.178|76\.229\.95\.201|71\.225\.110\.190|61\.109\.43\.62|66\.190\.197\.111|81\.190\.76\.7|200\.204\.78\.|61\.255\.40\.|78\.58\.134\.|84\.3\.226\.|123\.236\.22\.|190\.1\.31\.|83\.20\.245\.|94\.72\.149\.189|147\.47\.210\.192|189\.15\.222\.201|110\.164\.246\.|112\.71\.26\.|157\.157\.93\.145|78\.177\.53\.|195\.29\.197\.28|68\.213\.199\.253|217\.209\.210\.189|76\.19\.34\.123|24\.94\.180\.63|217\.197\.150\.|112\.202\.141\.|85\.27\.34\.|194\.79\.100\.|203\.100\.169\.)/ score TBI_HOTMAIL_IP 4.0 header TBI_HOTMAIL_IP1 X-Originating-IP =~ /\[(190\.36\.155\.|125\.14\.210\.|66\.252\.12\.173|189\.220\.66\.|66\.252\.12\.180|117\.195\.65\.|66\.252\.12\.198|83\.10\.78\.|74\.232\.106\.215|89\.74\.234\.|117\.195\.243\.|94\.241\.27\.70|134\.176\.50\.121|75\.22\.22\.137|24\.94\.180\.63|124\.9\.34\.|121\.185\.203\.|83\.84\.27\.|89\.235\.0\.|83\.10\.78\.|91\.77\.45\.11|121\.169\.34\.|217\.119\.152\.|124\.122\.66\.|59\.92\.239\.|81\.242\.19\.|68\.42\.198\.32|114\.47\.108\.|203\.162\.3\.|88\.229\.135\.|87\.99\.25\.|142\.242\.2\.|213\.110\.96\.|114\.26\.214\.|89\.172\.231\.|217\.119\.117\.|76\.18\.77\.222|85\.193\.240\.|115\.22\.140\.|201\.9\.193\.|70\.124\.2\.|189\.116\.211\.|94\.112\.48\.|212\.111\.4\.|98\.219\.141\.152|24\.44\.71\.192|121\.132\.122\.|98\.219\.140\.131|196\.206\.102\.|123\.237\.90\.|71\.236\.90\.89|207\.5\.201\.180|88\.239\.199\.)/ score TBI_HOTMAIL_IP1 4.0 header TBI_HOTMAIL_IP2 X-Originating-IP =~ /\[(212\.178\.14\.|174\.88\.205\.120|80\.232\.217\.152|187\.89\.229\.|122\.100\.150\.|66\.189\.228\.145|114\.42\.95\.|77\.239\.69\.54|121\.149\.179\.|87\.222\.179\.|124\.158\.68\.|41\.196\.242\.|72\.131\.32\.128|123\.176\.77\.|190\.205\.30\.|187\.20\.114\.|87\.222\.224\.|118\.83\.16\.|116\.84\.132\.|123\.240\.43\.|96\.8\.67\.|41\.219\.230\.|119\.205\.60\.|125\.26\.206\.|110\.35\.214\.|85\.214\.149\.|85\.171\.167\.|109\.72\.119\.|109\.64\.107\.|111\.184\.112\.|189\.174\.99\.|51\.75\.0\.|187\.40\.198\.|112\.186\.66\.|189\.35\.116\.|83\.229.48\.|219\.93\.52\.|89\.123\.210\.|82\.128\.69\.|186\.40\.8\.|188\.25\.184\.|112\.149\.192\.|123\.236\.110\.|124\.158\.70\.|80\.125\.173\.|94\.21\.142\.|92\.113\.145\.|218\.20\.129\.|95\.190\.83\.|41\.210\.5\.|190\.11\.164\.|77\.112\.130\.|116\.71\.95\.|221\.160\.102\.|67\.197\.209\.|189\.83\.239\.|41\.250\.204\.|122\.42\.179\.|217\.227\.219\.|213\.60\.172\.|190\.209\.151\.)/ score TBI_HOTMAIL_IP2 4.0 header TBI_HOTMAIL_IP3 X-Originating-IP =~ /\[(117\.200\.243\.|187\.153\.223\.|118\.137\.227\.|62\.150\.202\.|203\.91\.166\.|188\.26\.13\.|96\.8\.67\.|96\.8\.71\.|121\.152\.54\.|41\.246\.39\.|91\.201\.193\.|123\.22\.121\.|187\.34\.145\.|117\.200\.243\.|41\.245\.0\.|125\.128\.0\.|201\.232\.156\.|112\.166\.248\.|99\.245\.0\.|111\.251\.92\.|121\.188\.246\.|188\.24\.20\.|189\.131\.33\.|114\.39\.176\.|83\.57\.90\.|82\.51\.74\.|123\.192\.96\.|88\.103\.74\.|211\.255\.150\.|85\.81\.170\.|189\.105\.136\.|124\.49\.149\.|145\.97\.232\.|115\.117\.234\.|81\.196\.181\.|201\.233\.122\.|189\.190\.36\.|81\.172\.53\.|122\.169\.43\.|118\.96\.206\.|190\.80\.151\.|121\.158\.70\.|186\.40\.102\.|168\.226\.100\.|117\.192\.134\.|190\.42\.233\.|86\.44\.200\.|89\.101\.251\.|121\.55\.140\.|189\.165\.147\.|117\.201\.112\.|189\.103\.5\.|188\.24\.122\.|81\.83\.161\.|123\.240\.249\.|221\.232\.182\.|123\.194\.217\.|190\.174\.12\.|195\.211\.236\.|203\.236\.90\.|80\.31\.100\.|187\.20\.214\.|201\.66\.127\.)/ score TBI_HOTMAIL_IP3 4.0 header TBI_HOTMAIL_IP4 X-Originating-IP =~ /\[(194\.144\.5\.|113\.162\.71\.|41\.140\.252\.|200\.117\.198\.|190\.174\.129\.|200\.88\.144\.|110\.32\.138\.|189\.47\.2\.|121\.162\.1\.|123\.237\.97\.|121\.144\.83\.|109\.242\.198\.|93\.84\.104\.|87\.23\.147\.|190\.228\.164\.|92\.239\.132\.|219\.73\.67\.|79\.51\.142\.|85\.15\.208\.|212\.73\.146\.|201\.161\.61\.|77\.123\.87\.|190\.196\.105\.|77\.230\.11\.|189\.154\.90\.|78\.88\.226\.|121\.184\.234\.|117\.204\.163\.|190\.28\.249\.|190\.74\.255\.|84\.215\.92\.|87\.56\.121\.|93\.107\.147\.|189\.171\.156\.|123\.176\.8\.|219\.85\.136\.|217\.132\.131\.|145\.236\.209\.|93\.173\.241\.|78\.3\.40\.|123\.16\.129\.|58\.248\.165\.|219\.254\.138\.|83\.85\.142\.|200\.77\.4\.|59\.92\.122\.|95\.17\.248\.|121\.132\.137\.|117\.195\.38\.|201\.152\.222\.|188\.24\.56\.|189\.111\.198\.|201\.41\.92\.|88\.227\.139\.|187\.15\.183\.|59\.178\.87\.|87\.198\.254\.|77\.203\.157\.|94\.208\.175\.|222\.255\.29\.|201\.211\.94\.|189\.1\.217\.|189\.154\.90\.|109\.75\.193\.)/ score TBI_HOTMAIL_IP4 4.0 header TBI_HOTMAIL_IP5 X-Originating-IP =~ /\[(190\.148\.27\.|80\.109\.2\.|193\.252\.61\.|111\.171\.48\.|116\.33\.251\.|79\.188\.250\.|202\.70\.41\.|222\.69\.166\.|219\.241\.57\.|222\.69\.162\.|95\.102\.210\.|95\.37\.250\.|117\.241\.242\.|190\.189\.109\.|113\.167\.117\.|84\.252\.56\.|114\.46\.140\.|123\.20\.110\.|195\.252\.113\.|116\.68\.67\.|123\.17\.228\.|121\.137\.62\.|222\.253\.164\.|188\.186\.197\.|115\.59\.74\.|222\.69\.166\.|78\.175\.50\.|222\.69\.163\.|189\.77\.28\.|77\.225\.238\.|190\.172\.253\.|88\.241\.223\.|121\.133\.191\.|210\.93\.97\.|193\.220\.24\.|190\.152\.228\.|79\.100\.96\.|118\.43\.170\.|118\.43\.213\.|222\.237\.78\.|115\.49\.91\.|222\.69\.166\.)/ score TBI_HOTMAIL_IP5 4.0 Robert Fitzpatrick wrote: > Could I get someone to run an example of smut spam I cannot seem to > block in SA 3.2.5? This is a typical message that has been hammering one > or two customers and despite learning many of these messages with bayes, > still they continue... > > http://mx1.webtent.net/test.msg > > I am using Sanesecurity as well as the saupdates. > > --Robert > > >
