Hi
I need a rule to block spam contains
Subject or Body contains words 'or.*amento' or 'planilha' or 'urgente'
AND URI contains links to orcamento or panilha (php or pdf)
So, I doing this:
header __ORCAMENTO_H Subject =~ /or.*amento|planilha|urgente/i
body __ORCAMENTO_B /or.*amento|planilha|urgente/i
uri __ORCAMENTO_U
/orcamento\.php|/orcamento\.pdf|planilha\.php|planilha\.pdf)
meta ORCAMENTO ( __JAMEF_ORCAMENTO_H || __JAMEF_ORCAMENTO_B ) &&
__JAMEF_ORCAMENTO_U
score ORCAMENTO 5.5
describe ORCAMENTO Fala sobre orçamentos urgentes e contem links
supostamente para arquivos PDF
But is not working. What I'm doing wrong?
Sample spam Subject:
Subject:
=?iso-8859-1?Q?Veja_meu_ora=E7amento_com_carinho_e_me_responda_o_mais_rap?=
=?iso-8859-1?Q?ido_possivel____quarta-feira=2C_28_de_maio_de_2014___06:26?=
=?iso-8859-1?Q?:23?=
Sampe spam Body:
SR. Contribuinte
Segue Abaixo Or=E7amento de Planilha.pdf
Sample Spam URI:
<meta http-equiv="refresh" content="0;
url=http://msaojose.org/orcamento.php">
------=_NextPart_000_005E_01CF7A4E.D1CAF290--
# spamc -R < spam.eml
2.6/5.0
Content preview: Segue em anexo o or�amento solicitado Or�amento Urgente
quarta-feira,
28 de maio de 2014 04:09:06 Segue em anexo o or�amento solicitado [...]
Content analysis details: (2.6 points, 5.0 required)
pts rule name description
---- ----------------------
--------------------------------------------------
0.6 SPF_SOFTFAIL SPF: sender does not match SPF record (softfail)
-0.2 BAYES_40 BODY: Bayesian spam probability is 20 to 40%
[score: 0.2096]
0.0 HTML_MESSAGE BODY: HTML included in message
2.2 DCC_CHECK Listed in DCC (http://rhyolite.com/anti-spam/dcc/)