home *** CD-ROM | disk | FTP | other *** search
/ ftp.f-secure.com / 2014.06.ftp.f-secure.com.tar / ftp.f-secure.com / support / hotfix / fsis / IS-SpamControl.fsfix / iufssc / rules / 20_phrases.cf < prev    next >
Text File  |  2006-11-29  |  16KB  |  358 lines
  1. # SpamAssassin rules file: phrase tests
  2. #
  3. # Please don't modify this file as your changes will be overwritten with
  4. # the next update. Use @@LOCAL_RULES_DIR@@/local.cf instead.
  5. # See 'perldoc Mail::SpamAssassin::Conf' for details.
  6. #
  7. # Note: body tests are run with long lines, so be sure to limit the
  8. # size of searches; use /.{0,30}/ instead of /.*/ to avoid huge
  9. # search times.
  10. #
  11. # <@LICENSE>
  12. # Copyright 2004 Apache Software Foundation
  14. # Licensed under the Apache License, Version 2.0 (the "License");
  15. # you may not use this file except in compliance with the License.
  16. # You may obtain a copy of the License at
  18. #     http://www.apache.org/licenses/LICENSE-2.0
  20. # Unless required by applicable law or agreed to in writing, software
  21. # distributed under the License is distributed on an "AS IS" BASIS,
  22. # WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  23. # See the License for the specific language governing permissions and
  24. # limitations under the License.
  25. # </@LICENSE>
  26. #
  27. ###########################################################################
  28.  
  29. #require_version @@VERSION@@
  30.  
  31. ###########################################################################
  32.  
  33. # bug 1022: MGM_POSTCARD #2 original
  34. body REMOVE_POSTAL        /(?:Send(?:ing)? a (?:postal mail|postcard) to (?:Unsubscribe|Customer ?Service|remove)|unsubscribe by (?:postal mail|postcard))/i
  35. describe REMOVE_POSTAL        Send real mail to be unsubscribed
  36.  
  37. # new way to phrase unsubscribe link
  38. body REMOVE_BEFORE_LINK        m{(?:no thanks|not interested|unsubscribe here).{0,5}http://}i
  39. describe REMOVE_BEFORE_LINK    Removal phrase right before a link
  40.  
  41. ###########################################################################
  42. # CLICK rules
  43. # note HTML_LINK_CLICK* rules in HTML parser section
  44.  
  45. body CLICK_BELOW_CAPS        /CLICK\s.{0,30}(?:HERE|BELOW)/s
  46. describe CLICK_BELOW_CAPS    Asks you to click below (in capital letters)
  47.  
  48. body CLICK_TO_REMOVE_1        /click here to be (?:permanently )?(?:removed|deleted)/i
  49. describe CLICK_TO_REMOVE_1    Click to be removed
  50.  
  51. body SENT_IN_COMPLIANCE        /(?:e.?mail|message) .{0,10}sen[dt] (?:to you )?in (?:\w{1,10} )?compliance (?:of|with)/i
  52. describe SENT_IN_COMPLIANCE    Claims compliance with spam regulations
  53. body BILL_1618            /\bs\W{0,4}1618\b/i
  54. describe BILL_1618        Possible mention of bill 1618 (anti-spam bill)
  55. body FULL_REFUND        /full refund|refunds? your money in full/i
  56. describe FULL_REFUND        Offers a full refund
  57.  
  58. body NO_COST                    /\bno (?:cost|charge)\b/i
  59. describe NO_COST                No such thing as a free lunch (3)
  60. body GUARANTEED_100_PERCENT    /100% GUARANTEED/i
  61. describe GUARANTEED_100_PERCENT    One hundred percent guaranteed
  62. body DEAR_FRIEND        /^\s*Dear Friend\b/i
  63. describe DEAR_FRIEND        Dear Friend? That's not very dear!
  64. body DEAR_SOMETHING        /\bDear (?:IT\W|Internet|candidate|sirs?|madam|investor|travell?er|car shopper|web)\b/i
  65. describe DEAR_SOMETHING        Contains 'Dear (something)'
  66. body BILLION_DOLLARS        /[BM]ILLION DOLLAR/
  67. describe BILLION_DOLLARS    Talks about lots of money
  68. body OPTING_OUT_CAPS        /\b(?-i:O)pt.?(?-i:O)ut\b/i
  69. describe OPTING_OUT_CAPS    Talks about opting out (capitalized version)
  70.  
  71. body EXCUSE_4            /To Be Removed,? Please/i
  72. describe EXCUSE_4        Claims you can be removed from the list
  73.  
  74. # strange pattern because otherwise it matches the std. majordomo line
  75. # pls note the comment above. DO NOT just put "to" in the first group!
  76. body EXCUSE_6            /\b(?:wish to|click to) remove yourself/i
  77. describe EXCUSE_6        Claims you can be removed from the list
  78.  
  79. body EXCUSE_10            /if you (?:(?:want|wish|care|prefer) not to |do ?n[o']t (?:want|wish|care) to )(?:be contacted again|receive (?:any ?)?(?:more|future|further)\b.{1,10}\b(?:e?-?mail|message|offer|solicitation)s?|be included)/i
  80. describe EXCUSE_10        "if you do not wish to receive any more"
  81.  
  82. body EXCUSE_12            /this (?:e?-?mail|message) (?:(?:has )?reached|was sent to) you in error/i
  83. describe EXCUSE_12        Nobody's perfect
  84.  
  85. body EXCUSE_23            /you have provided permission/i
  86. describe EXCUSE_23        Claims you have provided permission
  87. body EXCUSE_24            /you(?:'ve|'re| have| are)? receiv(?:e|ed|ing) this (?:advertisement|offer|special|recurring|paid).{0,16}\b(?:by either|because)/i
  88. describe EXCUSE_24        Claims you wanted this ad
  89.  
  90. body EXCUSE_REMOVE        /to be removed from.{0,20}(?:mailings|offers)/i
  91. describe EXCUSE_REMOVE        Talks about how to be removed from mailings
  92.  
  93. body STRONG_BUY            /strong buy/i
  94. describe STRONG_BUY        Tells you about a strong buy
  95.  
  96. body WE_HONOR_ALL        /\b(?:honou?r|respect)(?: all)? remov(?:e|al) requests?\b/i
  97. describe WE_HONOR_ALL        Claims to honor removal requests
  98.  
  99. body STOCK_ALERT        /\bstock alert/i
  100. describe STOCK_ALERT        Offers a alert about a stock
  101. body MICRO_CAP_WARNING        /Investing in micro-cap securities is highly speculative/i
  102. describe MICRO_CAP_WARNING    SEC-mandated penny-stock warning
  103. body NOT_ADVISOR        /not a registered investment advisor/i
  104. describe NOT_ADVISOR        Not registered investment advisor
  105.  
  106. body SOME_BREAKTHROUGH        /\b(?:science|medical|major|scientific|fundamental|technology|revolutionary)\s+breakthrough/i
  107. describe SOME_BREAKTHROUGH    Describes some sort of breakthrough
  108.  
  109. body PREST_NON_ACCREDITED    /prestigi?ous\b.{0,20}\bnon-accredited\b.{0,20}\buniversities/i
  110. describe PREST_NON_ACCREDITED    'Prestigious Non-Accredited Universities'
  111.  
  112. body BODY_ENHANCEMENT        /\b(?:enlarge|increase|grow|lengthen|larger\b|bigger\b|longer\b|thicker\b|\binches\b).{0,50}\b(?:penis|male organ|pee[ -]?pee|dick|sc?hlong|wh?anger|breast(?!\s+cancer))/i
  113. describe BODY_ENHANCEMENT    Information on growing body parts
  114.  
  115. body BODY_ENHANCEMENT2        /\b(?:penis|male organ|pee[ -]?pee|dick|sc?hlong|wh?anger|breast(?!\s+cancer)).{0,50}\b(?:enlarge|increase|grow|lengthen|larger\b|bigger\b|longer\b|thicker\b|\binches\b)/i
  116. describe BODY_ENHANCEMENT2    Information on getting larger body parts
  117.  
  118. body     IMPOTENCE              /\b(?:impotence (?:problem|cure|solution)|Premature Ejaculation|erectile dysfunction)/i
  119. describe IMPOTENCE              Impotence cure
  120.  
  121. body MORTGAGE_BEST        /\b(?:low(?:est|er)?|free|second|rate|best|refinanc(?:e|ing)|online|instant) mortgage/i
  122. describe MORTGAGE_BEST        Information on mortgages
  123.  
  124. body MORTGAGE_PITCH        /mortgage (?:rates?|quotes?|approv(?:al|ed)|payment|interest|loans?|app(?:\b|lication))/i
  125. describe MORTGAGE_PITCH        Looks like mortgage pitch
  126.  
  127. body MORTGAGE_RATES        /Mortgage rates/i
  128. describe MORTGAGE_RATES        Information on mortgage rates
  129.  
  130.                     
  131. # this works best as rawbody
  132. # do not add "subscribe", "unsubscribe", or "help"
  133. rawbody MAILTO_SUBJ_REMOVE        /mailto:.{0,64}\@.{0,64}\?subject=(?:\"|3D)*(?:remove?|delete|please.?(?:delete|remove|unsubscribe)|abuse|off\b|stop|take.?me.?off)/i
  134. describe MAILTO_SUBJ_REMOVE    mailto URI includes removal text
  135.  
  136. body NA_DOLLARS            /\b(?:\d{1,3})?Million\b.{0,40}\b(?:Canadian Dollar?s?|US\$|U\.? ?S\.? Dollar)/i
  137. describe NA_DOLLARS        Talks about a million North American dollars
  138.  
  139. body US_DOLLARS_3               /(?:\$|usd).?\d{1,3}[,.]\d{3}[,.]\d{3}(?:[,.]\d\d)?/i
  140. describe US_DOLLARS_3           Mentions millions of $ ($NN,NNN,NNN.NN)
  141.  
  142. body MILLION_USD                  /Million\b.{0,40}\b(?:United States? Dollars?|USD)/i
  143. describe MILLION_USD         Talks about millions of dollars
  144.  
  145. rawbody FRONTPAGE        /FrontPage.Editor/
  146. describe FRONTPAGE        Frontpage used to create the message
  147.  
  148. body RESISTANCE_IS_FUTILE    /Replying to this email will not unsubscribe you./i
  149. describe RESISTANCE_IS_FUTILE    Resistance to this spam is futile
  150.  
  151. body URG_BIZ            /urgent.{0,16}(?:assistance|business|buy|confidential|notice|proposal|reply|request|response)/i
  152. describe URG_BIZ        Contains urgent matter
  153.  
  154. body EARN_PER_WEEK              /\b(?:earn|make).{1,20}\d\d\d+.{1,30}(?:per week|per month|weekly|monthly)/i
  155. describe EARN_PER_WEEK          Contains 'earn $something per week'
  156.  
  157. body     ALL_NATURAL            /\b(?:100%|completely|totally|all) natural/i
  158. describe ALL_NATURAL            Spam is 100% natural?!
  159.  
  160. body     MONEY_BACK             /money back guarantee/i
  161. describe MONEY_BACK             Money back guarantee
  162.  
  163. body     NO_OBLIGATION          /no obligation/i
  164. describe NO_OBLIGATION          There is no obligation
  165.  
  166. body     RISK_FREE              /\b(?:risk[ -]free|no[ -]risk)/i
  167. describe RISK_FREE              Risk free.  Suuurreeee....
  168.  
  169. # "seen on TV", "seen on ABC/NBC/etc", "seen on XYZ TV", or "seen on:"
  170. body AS_SEEN_ON            /seen on\s*(?:T\.?V|A\.?B\.?C|N\.?B\.?C|C\.?B\.?S|C\.?N\.?N|Oprah|U\.?S\.?A\.? Today|48 Hours|New York Times|\w+\s+T\.?V|:)/i
  171. describe AS_SEEN_ON        As seen on national TV!
  172.  
  173. ## Contrib: Marc Perkel
  174. body OFFSHORE_SCAM        /\boffshore\b.{0,20}(?:credit card|companies|account|financ|websites?)/i
  175. describe OFFSHORE_SCAM        Off Shore Scams
  176.  
  177. body WHY_PAY_MORE        /\bwhy pay more\b/i
  178. describe WHY_PAY_MORE        Why Pay More?
  179.  
  180. # similar to OFFER, but fewer FPs
  181. body RECEIVE_OFFER        /receive special offer/i
  182. describe RECEIVE_OFFER        Receive a special offer
  183.  
  184. body FREE_QUOTE_INSTANT        /free.{0,12}(?:(?:instant|express|online|no.?obligation).{0,4})+.{0,32}\bquote/i
  185. describe FREE_QUOTE_INSTANT    Free express or no-obligation quote
  186.  
  187. body BAD_CREDIT                /\b(?:bad|poor|no\b|eliminate|repair|(?:re)?establish|damag).{0,10} (?:credit|debt)\b/i
  188. describe BAD_CREDIT        Eliminate Bad Credit
  189.  
  190. body CONSOLIDATE_DEBT        /(?:consolidate .{0,9} (?:debt|credit|bills)|debt[ -]?(?:consolidation|elimination))/i
  191. describe CONSOLIDATE_DEBT    Consolidate debt, credit, or bills
  192.  
  193. body REFINANCE_YOUR_HOME    /\brefinance your(?: current)? (?:home|house)\b/i
  194. describe REFINANCE_YOUR_HOME    Home refinancing
  195.  
  196. body REFINANCE_NOW              /time to refinance|refinanc\w{1,3}\b.{0,16}\bnow\b/i
  197. describe REFINANCE_NOW          Home refinancing
  198.  
  199. body NO_MEDICAL                /\bno medical exam/i
  200. describe NO_MEDICAL        No Medical Exams
  201.  
  202. body NO_FORMS                /\bno .{0,9}forms\b/i
  203. describe NO_FORMS        No Claim Forms
  204.  
  205. body WHY_WAIT                /\b(?:why wait|what are you waiting for)\b/i
  206. describe WHY_WAIT        What are you waiting for
  207.  
  208. body YOU_CAN_SEARCH        /you can search for anyone/i
  209. describe YOU_CAN_SEARCH        You can search for anyone
  210.  
  211. body GUARANTEED_STUFF            /\bguarantee.{0,15}(?:income|money|monthly)\b/i
  212. describe GUARANTEED_STUFF    Guaranteed Stuff
  213.  
  214. body AMAZING_STUFF            /\bamazing (?:product|rates)/i
  215. describe AMAZING_STUFF        Amazing Stuff
  216.  
  217. # seems like we vastly reduce FPs on this one with a small change or two
  218. body DIET_1             /\b(?:(?:without|no) (?:exercis(?:e(?! price)|ing)|dieting)|weight.?loss|(?:extra|lose|lost|losing).{0,10}(?:pounds|weight|inches|lbs)|burn.{1,10}fat)\b/i
  219. describe DIET_1        Lose Weight Spam
  220.  
  221. body DIET_2        /\blo+se.{1,10}\d+.{1,3}(?:lb|pound|kg|kilo)/i
  222. describe DIET_2        Describes weight loss
  223.  
  224. body DIET_3        /(?:Body Fat Loss|Loss of body fat|lose.{1,10}body fat)/i
  225. describe DIET_3        Describes body fat loss
  226.  
  227. body REVERSE_AGING         /\breverses? aging\b/i
  228. describe REVERSE_AGING        Reverses Aging
  229.  
  230. body HAIR_LOSS            /\b(?=[gnrt])(?:thinn?ing|restore|grow|new) hair|\bhair loss/i
  231. describe HAIR_LOSS        Cures Baldness
  232.  
  233. body WRINKLES                /\bwrinkle reduction\b/i
  234. describe WRINKLES        Removes Wrinkles
  235.  
  236. body WHILE_YOU_SLEEP            /\bwhile you sleep\b/i
  237. describe WHILE_YOU_SLEEP    While you Sleep
  238.  
  239. body HIDDEN_CHARGES            /\bhidden charges\b/i
  240. describe HIDDEN_CHARGES        Talks about Hidden Charges
  241.  
  242. body FIN_FREE                /\bfinancial(?:ly)? free/i
  243. describe FIN_FREE         Freedom of a financial nature
  244.  
  245. body FORWARD_LOOKING            /\bcontains forward-looking statements\b/i
  246. describe FORWARD_LOOKING    Stock Disclaimer Statement
  247.  
  248. body SATIS_GUAR                /\bsatisfaction .{0,9}g(?:ua|au)ranteed\b/i
  249. describe SATIS_GUAR        Mail guarantees satisfaction
  250.  
  251. # Avoid an FP noted by NISHIJIMA Takanori: 'Japanese string sequence:
  252. # "Su" "Ku" "Na"  "I" "Ko" "Su" "To" "De" "Yo" "Ri" ...
  253. # (This string means, "More ...(ex. "productive" or "effective")
  254. # with less cost", and is a popular phrase but have no relations
  255. # with human growth hormone, of course. :-)
  256. # Encoded byte sequence: "$9" "$/" "$J" "$$" "%3" "%9" "%H" "$G" "$h" "$j"'
  257. # note FP:                                              ^^^^^^^^^^^^
  258. body __HG_HORMONE        /\b(?:human growth hormone|(?-i:HGH)|H.G.H)\b/i
  259. meta HG_HORMONE            (!__ISO_2022_JP_DELIM && __HG_HORMONE)
  260. describe HG_HORMONE        Talks about hormones for human growth
  261.  
  262. body EXTRA_CASH                /\bextra cash\b/i
  263. describe EXTRA_CASH        Offers Extra Cash
  264.  
  265. body GET_PAID                /\bget (?-i:P)aid\b/i
  266. describe GET_PAID        Get Paid
  267.  
  268. body ONE_TIME            /\bone\W+time (?:charge|investment|offer|promotion)/i
  269. describe ONE_TIME        One Time Rip Off
  270.  
  271. body COMPETE                /\bcompete for your business\b/i
  272. describe COMPETE        Compete for your business
  273.  
  274. body MEET_SINGLES            /\bmeet .{0,12}singles|thousands of personal/i
  275. describe MEET_SINGLES        Meet Singles
  276.  
  277. body JOIN_MILLIONS            /\bjoin (?:millions|thousands)\b/i
  278. describe JOIN_MILLIONS        Join Millions of Americans
  279.  
  280. body BE_BOSS                /\byour own boss\b/i
  281. describe BE_BOSS        Be your own boss
  282.  
  283. body ML_MARKETING            /\b(?:MLM|multi.level.marketing)\b/i
  284. describe ML_MARKETING        Multi Level Marketing mentioned
  285.  
  286. body CONFIDENTIAL_ORDER        /confidential.{0,9} order/i
  287. describe CONFIDENTIAL_ORDER    Confidentiality on all orders
  288.  
  289. body SAVE_THOUSANDS             /\bsave (?:thousands|millions)\b/i
  290. describe SAVE_THOUSANDS         Save big money
  291.  
  292. body MARKETING_PARTNERS        /\b(?:marketing|network) partner|\bpartner (?:web)?site/i
  293. describe MARKETING_PARTNERS    Claims you registered with a partner
  294.  
  295. body FREE_PREVIEW        /\bfree preview\b/i
  296. describe FREE_PREVIEW        Free Preview
  297.  
  298. body FREE_ACCESS                /(?-i:F)ree access/i
  299. describe FREE_ACCESS            Contains 'free access' with capitals
  300.  
  301. body FREE_SAMPLE                /(?-i:F)ree sample/i
  302. describe FREE_SAMPLE            Contains 'free sample' with capitals
  303.  
  304. body LOW_PRICE                  /\blow.{0,4} (?-i:P)rice/i
  305. describe LOW_PRICE              Lowest Price
  306.  
  307. body UNCLAIMED_MONEY            /\bunclaimed (?:funds|money|prizes?|rewards?)\b/i
  308. describe UNCLAIMED_MONEY        People just leave money laying around
  309.  
  310. body OBSCURED_EMAIL        /\w+\^\S+\(\w{2,4}\b/
  311. describe OBSCURED_EMAIL        Message seems to contain rot13ed address
  312.  
  313. body BANG_EXERCISE            /\bexercis(?:e|er|es)!/i
  314. describe BANG_EXERCISE        Talks about exercise with an exclamation!
  315. body BANG_MORE               /\b(?-i:M)ore!/i
  316. describe BANG_MORE           Talks about more with an exclamation!
  317. body BANG_OPRAH              /\boprah!/i
  318. describe BANG_OPRAH          Talks about Oprah with an exclamation!
  319.  
  320. body ACT_NOW_CAPS               /A(?i:ct) N(?i:ow)/
  321. describe ACT_NOW_CAPS        Talks about 'acting now' with capitals
  322. body MORE_SEX               /increased?.{0,9}(?:sex|stamina)/i
  323. describe MORE_SEX         Talks about a bigger drive for sex
  324.  
  325. body BANG_GUAR                 /\bguaranteed?\!/i
  326. describe BANG_GUAR        Something is emphatically guaranteed
  327.  
  328. body SEE_FOR_YOURSELF        /See (?:for|it|it for) yourself\b/i
  329. describe SEE_FOR_YOURSELF       See for yourself 
  330.  
  331. body __RUDE_HTML_1    /Get a capable html e-mailer/i
  332. body __RUDE_HTML_2    /not support the display of HTML. Please view this message in a different/i
  333. body __RUDE_HTML_3    /This message contains an HTML formatted message but your email client does/i
  334. body __RUDE_HTML_4    /Your mailer do not support HTML messages. Switch to a better mailer/i
  335. meta RUDE_HTML        __RUDE_HTML_1 || __RUDE_HTML_2 || __RUDE_HTML_3 || __RUDE_HTML_4
  336. describe RUDE_HTML    Spammer message says you need an HTML mailer
  337.  
  338. body INVESTMENT_ADVICE        /\binvestment advice/i
  339. describe INVESTMENT_ADVICE    Message mentions investment advice
  340.  
  341. body INVESTMENT_EXPERT        /\binvestment expert/i
  342. describe INVESTMENT_EXPERT    Message mentions investment expert
  343.  
  344. body QUALIFY_FOR_THIS        /qualify for \w{1,5} (?:special|new|promotion)/i
  345. describe QUALIFY_FOR_THIS    Qualify for this special...
  346.  
  347. body MALE_ENHANCE    /male enhancement/i
  348. describe MALE_ENHANCE    Message talks about enhancing men
  349.  
  350. body PRICES_ARE_AFFORDABLE    /\baffordable .{0,10}prices\b/i
  351. describe PRICES_ARE_AFFORDABLE    Message says that prices aren't too expensive
  352.  
  353. body REPLICA_WATCH /\breplica.{1,20}rolex/i
  354. describe REPLICA_WATCH    Message talks about a replica watch
  355.  
  356. body EM_ROLEX /[^\s\w.]rolex/i
  357. describe EM_ROLEX    Message puts emphasis on the watch manufacturer
  358.