| ACCESSDB | 0 | Nachricht wäre von access.db erkannt worden |
| ACT_NOW_CAPS | 0 | Reagieren Sie jetzt (in Großbuchstaben) |
| ADDRESS_IN_SUBJECT | 0 | Empfängradresse steht auch im Betreff |
| ADDR_FREE | 0 | Absenderzeile enthält "Free" |
| ADDR_NUMS_AT_BIGSITE | 1.007 | Adresse enthält viele Ziffern im Benutzernamen (bekannte Provider) |
| ADVANCE_FEE_1 | 0 | Appears to be advance fee fraud (Nigerian 419) |
| ADVANCE_FEE_2 | 0.647 | Appears to be advance fee fraud (Nigerian 419) |
| ADVANCE_FEE_3 | 1.760 | Appears to be advance fee fraud (Nigerian 419) |
| ADVANCE_FEE_4 | 3.040 | Appears to be advance fee fraud (Nigerian 419) |
| ALL_NATURAL | 0.618 | Alles zu 100% natürlich |
| ALL_TRUSTED | -1.440 | Nachricht wurde nur über vertrauenswürdige Rechner weitergeleitet |
| AMATEUR_PORN | 1.473 | Eventuell Pornowerbung: Amateurpornos |
| AMAZING_STUFF | 0 | Erstaunliche Dinge |
| AS_SEEN_ON | 0 | Aus der Fernsehwerbung |
| AV_WARN1 | 5.0 | Warning by Virus-Scanner forwarding message |
| AV_WARN2 | 5.0 | Warning by Virus-Scanner |
| BAD_CREDIT | 0.129 | Erwähnt geplatzte Kredite oder Kreditwürdigkeit |
| BAD_ENC_HEADER | 2.255 | Message has bad MIME encoding in the header |
| BANG_EXERCISE | 0.537 | Erwähnt Fitnessübungen, mit Ausrufezeichen |
| BANG_GUAR | 0.139 | Eine Garantie mit Ausrufezeichen |
| BANG_MORE | 0 | Immer "mehr", mit Ausrufezeichen |
| BANG_OPRAH | 0.366 | Erwähnt Oprah (Winfrey), mit Ausrufezeichen |
| BARGAIN_URL | 0 | Spamverdächtiger Hyperlink |
| BAYES_00 | 0.0001 | Spamwahrscheinlichkeit nach Bayes-Test: 0-1% |
| BAYES_05 | 0.0001 | Spamwahrscheinlichkeit nach Bayes-Test: 1-5% |
| BAYES_20 | 0.0001 | Spamwahrscheinlichkeit nach Bayes-Test: 5-20% |
| BAYES_40 | 0.0001 | Spamwahrscheinlichkeit nach Bayes-Test: 20-40% |
| BAYES_50 | 0.0001 | Spamwahrscheinlichkeit nach Bayes-Test: 40-60% |
| BAYES_60 | 0.0001 | Spamwahrscheinlichkeit nach Bayes-Test: 60-80% |
| BAYES_80 | 0.0001 | Spamwahrscheinlichkeit nach Bayes-Test: 80-95% |
| BAYES_95 | 0.0001 | Spamwahrscheinlichkeit nach Bayes-Test: 95-99% |
| BAYES_99 | 0.0001 | Spamwahrscheinlichkeit nach Bayes-Test: 99-100% |
| BEST_PORN | 0 | Eventuell Pornowerbung: Beste und größte Sammlung |
| BE_BOSS | 1.271 | Werden Sie Ihr eigner Chef |
| BILLION_DOLLARS | 0 | Erwähnt sehr große Geldbeträge |
| BILL_1618 | 1.405 | Behauptet, dem US-Gesetzentwurf 1618 zu entsprechen |
| BIZ_TLD | 1.169 | Hyperlink mit ".biz"-Domain |
| BLANK_LINES_70_80 | 1.236 | Nachrichtentext besteht zu 70-80% aus Leerzeilen |
| BLANK_LINES_80_90 | 0.107 | Nachrichtentext besteht zu 80-90% aus Leerzeilen |
| BLANK_LINES_90_100 | 0 | Nachrichtentext besteht zu 90-100% aus Leerzeilen |
| BODY_8BITS | 1.500 | Nachrichtentext enthält Folge von 8 oder mehr 8-Bit-Zeichen |
| BODY_ENHANCEMENT | 0 | Informationen zur Penis-/Brustvergrößerung |
| BODY_ENHANCEMENT2 | 0.618 | Informationen zur Penis-/Brustvergrößerung |
| BOD_DOCT_LIST | 4.0 | Doctors list in the US |
| CHARSET_FARAWAY | 3.200 | Zeichensatz deutet auf fremde Sprache hin |
| CHARSET_FARAWAY_HEADER | 3.200 | Fremdsprachlicher Zeichensatz in Kopfzeilen benutzt |
| CHELLO_VIRUS | 5.0 | modified by chello Virus detection |
| CHINA_HEADER | 1.440 | Kopfzeilen enthalten Hinweis auf "china.com" |
| CLICK_BELOW_CAPS | 0 | Aufforderung zum Mausklick in Großbuchstaben |
| CLICK_TO_REMOVE_1 | 0 | "Entfernung aus der Adressliste nur ein Mausklick entfernt" |
| COMPETE | 1.392 | Anbieter kämpfen um Sie als Kunden |
| CONFIDENTIAL_ORDER | 0 | Alle Bestellungen werden vertraulich behandelt |
| CONFIRMED_FORGED | 0 | Gefälschte "Received"-Kopfzeilen |
| CONSOLIDATE_DEBT | 0.119 | Schulden/Kredite/Rechnungen zusammenlegen |
| CUM_SHOT | 2.095 | Eventuell Pornowerbung: "cum shot" |
| DATE_IN_FUTURE_03_06 | 0.5 | Absendezeit 3 bis 6 Stunden nach Datum in "Received"-Kopfzeilen |
| DATE_IN_FUTURE_06_12 | 1.498 | Absendezeit 6 bis 12 Stunden nach Datum in "Received"-Kopfzeilen |
| DATE_IN_FUTURE_12_24 | 2.316 | Absendezeit 12 bis 24 Stunden nach Datum in "Received"-Kopfzeilen |
| DATE_IN_FUTURE_24_48 | 2.080 | Absendezeit 24 bis 48 Stunden nach Datum in "Received"-Kopfzeilen |
| DATE_IN_FUTURE_48_96 | 1.680 | Absendezeit 48 bis 96 Stunden nach Datum in "Received"-Kopfzeilen |
| DATE_IN_FUTURE_96_XX | 1.888 | Absendezeit mehr als 96 Stunden nach Datum in "Received"-Kopfzeilen |
| DATE_IN_PAST_03_06 | 0 | Absendezeit 3 bis 6 Stunden vor Datum in "Received"-Kopfzeilen |
| DATE_IN_PAST_06_12 | 0.746 | Absendezeit 6 bis 12 Stunden vor Datum in "Received"-Kopfzeilen |
| DATE_IN_PAST_12_24 | 0.881 | Absendezeit 12 bis 24 Stunden vor Datum in "Received"-Kopfzeilen |
| DATE_IN_PAST_24_48 | 0.805 | Absendezeit 24 bis 48 Stunden vor Datum in "Received"-Kopfzeilen |
| DATE_IN_PAST_48_96 | 0.501 | Absendezeit 48 bis 96 Stunden vor Datum in "Received"-Kopfzeilen |
| DATE_IN_PAST_96_XX | 1.572 | Absendezeit mehr als 96 Stunden vor Datum in "Received"-Kopfzeilen |
| DATE_SPAMWARE_Y2K | 1.822 | Datumskopfzeile hat ungewöhnliches Format |
| DAV_NON_HOTMAIL | 1.028 | Message sent using DAV, but not via Hotmail |
| DCC_CHECK | 1.37 | Gelistet im DCC-System (http://rhyolite.com/anti-spam/dcc/) |
| DEAR_FRIEND | 0.858 | Anonyme Anrede ("dear friend") |
| DEAR_SOMETHING | 1.612 | Anonyme Anrede ("dear ...") |
| DEEP_DISC_MEDS | 1.132 | Medikament zu Rabattpreisen |
| DIET_1 | 0 | Reduzieren Sie Ihr Gewicht |
| DIET_2 | 0 | Verlieren Sie Gewicht |
| DIET_3 | 0 | Werden Sie Fett los |
| DIGEST_MULTIPLE | 0.233 | Mehrere Internettests (Razor, DCC, Pyzor, etc.) treffen zu |
| DIPLOMAS | 6.0 | body contains Degree followed by Dollars |
| DIPLOMAS1 | 3.0 | Subject contains Degree or Diploma |
| DISGUISE_PORN | 0.110 | Verschleierte Worte weisen auf Pornographie hin |
| DISGUISE_PORN_MUNDANE | 1.798 | Attempts to disguise mundane words used in porn |
| DKIM_POLICY_SIGNALL | 0.001 | Domain Keys Identified Mail: policy says domain signs all mails |
| DKIM_POLICY_SIGNSOME | 0 | Domain Keys Identified Mail: policy says domain signs some mails |
| DKIM_POLICY_TESTING | 0.001 | Domain Keys Identified Mail: policy says domain is testing DK |
| DKIM_SIGNED | 0.001 | Domain Keys Identified Mail: message has a signature |
| DKIM_VERIFIED | -0.001 | Domain Keys Identified Mail: signature passes verification |
| DK_POLICY_SIGNALL | 0.001 | Domain Keys: policy says domain signs all mails |
| DK_POLICY_SIGNSOME | 0.001 | Domain Keys: policy says domain signs some mails |
| DK_POLICY_TESTING | 0.001 | Domain Keys: policy says domain is testing DK |
| DK_SIGNED | 0.001 | Domain Keys: message has an unverified signature |
| DK_VERIFIED | -0.001 | Domain Keys: signature passes verification |
| DNS_FROM_AHBL_RHSBL | 1.0 | Absenderadresse in Liste von dnsbl.ahbl.org |
| DNS_FROM_RFC_ABUSE | 0.479 | Absender in abuse-Liste von www.rfc-ignorant.org |
| DNS_FROM_RFC_BOGUSMX | 5.0 | Absender in bogusmx-Liste von www.rfc-ignorant.org |
| DNS_FROM_RFC_DSN | 2.872 | Absender in dsn-Liste von www.rfc-ignorant.org |
| DNS_FROM_RFC_POST | 2 | Absender in postmaster-Liste von www.rfc-ignorant.org |
| DNS_FROM_RFC_WHOIS | 0.879 | Absender in whois-Liste von www.rfc-ignorant.org |
| DNS_FROM_SECURITYSAGE | 2.001 | Envelope sender in blackholes.securitysage.com |
| DOMAIN_4U2 | 1.429 | Englische Lautmalerei ("4u") im Domainnamen |
| DOMAIN_RATIO | 0 | Nachrichtentext erwähnt viele Internet-Domänen |
| DRUGS_ANXIETY | 0.001 | Erwähnt Medikament gegen Angstneurosen |
| DRUGS_ANXIETY_EREC | 0.104 | Erwähnt Medikamente gegen Erektionsstörungen und Angstneurosen |
| DRUGS_ANXIETY_OBFU | 0 | Erwähnt (getarnt) Medikament gegen Angstneurosen |
| DRUGS_DIET | 0.991 | Erwähnt Diätmedikament |
| DRUGS_DIET_OBFU | 2.354 | Erwähnt (getarnt) Diätmedikament |
| DRUGS_ERECTILE | 2.0 | Erwähnt ein Medikament gegen Erektionsstörungen |
| DRUGS_ERECTILE_OBFU | 2.046 | Erwähnt (getarnt) Medikamente gegen Erektionsstörungen |
| DRUGS_MANYKINDS | 0 | Erwähnt mindestens vier Arten von Medikamenten |
| DRUGS_MUSCLE | 0.001 | Erwähnt Muskelentspannungsmittel |
| DRUGS_PAIN | 0.001 | Erwähnt Schmerzmedikament |
| DRUGS_PAIN_OBFU | 2.960 | Erwähnt (getarnt) Schmerzmedikament |
| DRUGS_SLEEP | 0.001 | Erwähnt Schlafmittel |
| DRUGS_SLEEP_EREC | 2.657 | Erwähnt Medikament gegen Erektionsstörungen und Schlafmittel |
| DRUGS_SMEAR1 | 1.372 | Zwei oder mehr Medikamente in einem Wort |
| DRUG_DOSAGE | 1.592 | Erwähnt den Preis einer Dosis |
| DRUG_ED_CAPS | 0.352 | Erwähnt Medikament gegen Erektionsstörung |
| DRUG_ED_COMBO | 1.280 | Viagra und andere Medikamente |
| DRUG_ED_GENERIC | 1.814 | Viagra als billiges Nachahmerpräparat |
| DRUG_ED_ONLINE | 2.160 | Schnelle Lieferung von Viagra |
| DRUG_ED_SILD | 0 | Chemische Bezeichnung eines Medikaments gegen Erektionsstörungen |
| EARN_PER_WEEK | 1.189 | Hoher wöchentlicher Verdienst |
| EMAIL_ROT13 | 1.680 | Eventuell ROT13-kodierte E-Mail-Adresse im Text |
| EMPTY_MESSAGE | 1.496 | Message appears to have no textual parts and no Subject: text |
| EM_ROLEX | 1.271 | Message puts emphasis on the watch manufacturer |
| ENGLISH_UCE_SUBJECT | 0.250 | Betreff enthält englische Werbungskennzeichnung |
| ENTITY_DEC_ALPHANUM | 0 | HTML enthält unnötig kodierte Zeichen |
| ENV_AND_HDR_DKIM_MATCH | -7.500 | Env and Hdr From used in default DKIM WL Match |
| ENV_AND_HDR_DK_MATCH | -7.500 | Env and Hdr From used in default DK WL Match |
| ENV_AND_HDR_SPF_MATCH | -7.500 | Env and Hdr From used in default SPF WL Match |
| EXCUSE_10 | 0 | Was zu tun ist, wenn Sie das nicht mehr empfangen wollen... |
| EXCUSE_12 | 1.131 | Vielleicht ist diese E-Mail ja ein Irrtum... |
| EXCUSE_23 | 1.360 | Sie haben sich angeblich eine Erlaubnis erteilt |
| EXCUSE_24 | 1.520 | Angeblich haben möchten Sie diese Werbung bekommen |
| EXCUSE_4 | 0.985 | Behauptet, man könne sich von der Adressliste entfernen lassen |
| EXCUSE_6 | 1.746 | Behauptet, man könne sich von der Adressliste entfernen lassen |
| EXCUSE_REMOVE | 0 | Beschreibt, wie Sie diese Nachrichten wieder loswerden |
| EXTRA_CASH | 0 | Zusätzliches Geld |
| EXTRA_MPART_TYPE | 0.815 | Unnötige Parameter in "Content-Type"-Kopfzeile ("...type=") |
| FAKED_UNDISC_RECIPS | 0 | "To: Undisclosed-Recipients" ist gefälscht |
| FAKE_HELO_EMAIL_COM | 1.440 | HELO-Rechnername gehört nicht zu email.com |
| FAKE_HELO_EUDORAMAIL | 1.440 | HELO-Rechnername gehört nicht zu eudoramail.com |
| FAKE_HELO_EXCITE | 0 | HELO-Rechnername gehört nicht zu excite.com |
| FAKE_HELO_LYCOS | 0 | HELO-Rechnername gehört nicht zu lycos.com |
| FAKE_HELO_MAIL_COM | 1.920 | HELO-Rechnername gehört nicht zu mail.com |
| FAKE_HELO_MAIL_COM_DOM | 2.160 | HELO-Rechnername verdächtig (mail.com) |
| FAKE_HELO_MSN | 2.060 | HELO-Rechnername gehört nicht zu msn.com |
| FAKE_HELO_YAHOO_CA | 1.353 | HELO-Rechnername gehört nicht zu yahoo.ca |
| FAKE_OUTBLAZE_RCVD | 2.480 | "mr.outblaze.com" in "Received"-Kopfzeile ist gefälscht |
| FIN_FREE | 0.611 | Finanzielle Unabhängigkeit |
| FORGED_AOL_RCVD | 0.001 | Gefälschte "Received"-Kopfzeile (falsche Mailrechner von AOL) |
| FORGED_AOL_TAGS | 0.281 | E-Mail-Programm von AOL verwendet diese Art HTML nicht |
| FORGED_EUDORAMAIL_RCVD | 0.528 | Gefälschte "Received"-Kopfzeile von eudoramail.com gefunden |
| FORGED_GW05_RCVD | 0.001 | Gefälschte "Received"-Kopfzeile gefunden ("by gw05") |
| FORGED_HOTMAIL_RCVD | 2.152 | Gefälschte "Received"-Kopfzeile von Hotmail gefunden |
| FORGED_HOTMAIL_RCVD2 | 0.549 | Absendeadresse von hotmail.com, aber keine passende "Received"-Zeile |
| FORGED_IMS_HTML | 2.265 | Exchange verschickt keine reinen HTML-Nachrichten |
| FORGED_IMS_TAGS | 2.117 | Exchange verwendet diese Art HTML nicht |
| FORGED_JUNO_RCVD | 1.478 | Absender juno.com passt nicht zu "Received"-Kopfzeilen |
| FORGED_MSGID_AOL | 1.436 | Message-ID is forged, (aol.com) |
| FORGED_MSGID_EXCITE | 2.400 | Message-ID is forged, (excite.com) |
| FORGED_MSGID_HOTMAIL | 2.459 | Message-ID is forged, (hotmail.com) |
| FORGED_MSGID_MSN | 1.956 | Message-ID is forged, (msn.com) |
| FORGED_MSGID_YAHOO | 3.158 | Message-ID is forged, (yahoo.com) |
| FORGED_MUA_AOL_FROM | 1.027 | E-Mail täuscht E-Mail-Software von AOL vor |
| FORGED_MUA_EUDORA | 1.944 | E-Mail täuscht E-Mail-Software Eudora vor |
| FORGED_MUA_IMS | 1.198 | E-Mail täuscht E-Mail-Software Exchange vor |
| FORGED_MUA_MOZILLA | 0.539 | Gefälschte E-Mail gibt vor vom Mailprogramm Mozilla zu kommen |
| FORGED_MUA_OIMO | 0.981 | E-Mail täuscht E-Mail-Software Outlook vor |
| FORGED_MUA_OUTLOOK | 4 | E-Mail täuscht E-Mail-Software Outlook vor |
| FORGED_MUA_THEBAT_BOUN | 2.281 | E-Mail täuscht E-Mail-Software The Bat! vor |
| FORGED_MUA_THEBAT_CS | 1.760 | E-Mail täuscht E-Mail-Software The Bat! vor |
| FORGED_OUTLOOK_HTML | 2.0 | Outlook verschickt keine reinen HTML-Nachrichten |
| FORGED_OUTLOOK_TAGS | 1.0 | Outlook verwendet diese HTML-Markierung nicht |
| FORGED_QUALCOMM_TAGS | 1.809 | E-Mail-Programm von Qualcomm verwendet diese Art HTML nicht |
| FORGED_RCVD_HELO | 0 | "Received"-Kopfzeilen enthalten gefälschte HELO-Identifikation |
| FORGED_TELESP_RCVD | 0 | Gefälschte Rechnernamen eines brasilianischen DSL-Providers |
| FORGED_THEBAT_HTML | 2.387 | The Bat! v1 verschickt keine reinen HTML-Nachrichten |
| FORGED_UIBK | 10.0 | contains forged uibk Received header |
| FORGED_YAHOO_RCVD | 3.0 | Gefälschte "Received"-Kopfzeile von yahoo.com gefunden |
| FORWARD_LOOKING | 1.434 | Enthält Formulierungen aus Aktienprospekten |
| FORW_LOOK | 2.0 | body with forward looking statements |
| FRAGMENTED_MESSAGE | 2.5 | Partial message |
| FREE_ACCESS | 0 | Enthält "free access" mit Großbuchstaben |
| FREE_PORN | 0 | Eventuell Pornowerbung: Kostenlose Pornos |
| FREE_PREVIEW | 1.409 | Kostprobe gratis |
| FREE_QUOTE_INSTANT | 0 | Kostenlos ein schnelles Preisangebot, ohne Verpflichtung |
| FREE_SAMPLE | 0 | Enthält "free sample" mit Großbuchstaben |
| FRELAY_DYN_RDNS6 | 3.0 | last relay seems to be a dynamic ip |
| FRELAY_DYN_RDNSB | 4.0 | One of the bad relays |
| FRELAY_DYN_RDNSG | -5.0 | One of the good relays |
| FRELAY_DYN_RDNSM | -2.0 | last relay seems to be a mail server or relays |
| FRELAY_DYN_RDNSN | 2.5 | last relay in .net domain |
| FRELAY_DYN_RDNSX | 3.0 | last relay seems to be a dynamic ip |
| FRELAY_DYN_RDNSZ | -2.0 | Correct multiple FRELAY-Entries |
| FRELAY_NO_RDNS | 5.0 | last relay has no reverse dns |
| FRELAY_WANADOO_FR | 4.0 | last relay is from abo.wanadoo.fr |
| FRELAY_WANADOO_NL | 3.0 | last relay is from .cable.wanadoo.nl |
| FRELAY_YAHOO | -5.5 | last relay is yahoo mail relays |
| FROM_ALL_NUMS | 1.920 | Adresse enthält nur Ziffern im Benutzernamen |
| FROM_AND_TO_SAME | 0 | Absender- und Empfängerzeilen beinahe gleich |
| FROM_BLANK_NAME | 1.467 | From: contains empty name |
| FROM_DOMAIN_NOVOWEL | 1.592 | From: domain has series of non-vowel letters |
| FROM_ENDS_IN_NUMS | 2.160 | Absenderadresse endet mit Ziffern im Benutzernamen |
| FROM_EXCESS_BASE64 | 1.052 | From: base64 encoded unnecessarily |
| FROM_EXCESS_QP | 0 | From: quoted-printable encoded unnecessarily |
| FROM_HAS_MIXED_NUMS | 1.510 | Absendeadresse enthält Mischung aus Ziffern/Buchstaben |
| FROM_HAS_ULINE_NUMS | 0.217 | Benutzername des Absenders enthält Unterstrich und Ziffern/Buchstaben |
| FROM_ILLEGAL_CHARS | 3.280 | Absendeadresse enthält zu viele ungültige Zeichen |
| FROM_LOCAL_DIGITS | 0 | From: localpart has long digit sequence |
| FROM_LOCAL_HEX | 1.343 | From: localpart has long hexadecimal sequence |
| FROM_LOCAL_NOVOWEL | 2.331 | From: localpart has series of non-vowel letters |
| FROM_NONSENDING_DOMAIN | 1.254 | Nachricht aus Domäne, die nie E-mail verschickt |
| FROM_NO_LOWER | 0.201 | Absenderzeile enthält keine Kleinbuchstaben |
| FROM_NO_USER | 0 | Adressteil vor dem @-Zeichen fehlt im Absender |
| FROM_OFFERS | 1.641 | Absenderadresse enthält "@...offers" |
| FROM_STARTS_WITH_NUMS | 0.283 | Absenderadresse beginnt mit Ziffern im Benutzernamen |
| FRONTPAGE | 0.809 | Nachricht wurde vom Programm Frontpage erzeugt |
| FULL_REFUND | 0 | Bietet vollständige Geldrückerstattung an |
| FUZZY_AFFORDABLE | 1.840 | Attempt to obfuscate words in spam |
| FUZZY_AMBIEN | 0.454 | Attempt to obfuscate words in spam |
| FUZZY_BILLION | 0.914 | Attempt to obfuscate words in spam |
| FUZZY_CELEBREX | 2.221 | Attempt to obfuscate words in spam |
| FUZZY_CPILL | 0.881 | Attempt to obfuscate words in spam |
| FUZZY_CREDIT | 1.556 | Attempt to obfuscate words in spam |
| FUZZY_ERECT | 2.640 | Attempt to obfuscate words in spam |
| FUZZY_FOLLOW | 0.790 | Attempt to obfuscate words in spam |
| FUZZY_GUARANTEE | 2.960 | Attempt to obfuscate words in spam |
| FUZZY_MEDICATION | 2.720 | Attempt to obfuscate words in spam |
| FUZZY_MILF | 1.208 | Attempt to obfuscate words in spam |
| FUZZY_MILLION | 2.880 | Attempt to obfuscate words in spam |
| FUZZY_MONEY | 2.240 | Attempt to obfuscate words in spam |
| FUZZY_MORTGAGE | 2.960 | Attempt to obfuscate words in spam |
| FUZZY_OBLIGATION | 2.555 | Attempt to obfuscate words in spam |
| FUZZY_OFFERS | 1.439 | Attempt to obfuscate words in spam |
| FUZZY_PHARMACY | 2.560 | Attempt to obfuscate words in spam |
| FUZZY_PHENT | 1.155 | Attempt to obfuscate words in spam |
| FUZZY_PLEASE | 2.777 | Attempt to obfuscate words in spam |
| FUZZY_PRESCRIPT | 2.880 | Attempt to obfuscate words in spam |
| FUZZY_PRICES | 2.531 | Attempt to obfuscate words in spam |
| FUZZY_REFINANCE | 1.512 | Attempt to obfuscate words in spam |
| FUZZY_REMOVE | 2.128 | Attempt to obfuscate words in spam |
| FUZZY_ROLEX | 0.972 | Attempt to obfuscate words in spam |
| FUZZY_SOFTWARE | 2.160 | Attempt to obfuscate words in spam |
| FUZZY_THOUSANDS | 2.240 | Attempt to obfuscate words in spam |
| FUZZY_TRAMADOL | 2.160 | Attempt to obfuscate words in spam |
| FUZZY_VICODIN | 1.595 | Attempt to obfuscate words in spam |
| FUZZY_VIOXX | 0 | Attempt to obfuscate words in spam |
| FUZZY_VLIUM | 0.612 | Attempt to obfuscate words in spam |
| FUZZY_VPILL | 0.729 | Attempt to obfuscate words in spam |
| FUZZY_XPILL | 2.643 | Attempt to obfuscate words in spam |
| GAPPY_SUBJECT | 1.625 | Betreff enthält Text mit "L.ü.c.k.e.n" |
| GET_PAID | 0 | Lassen Sie sich bezahlen |
| GTUBE | 1000.000 | Test zur Prüfung von Anti-Spam-Software |
| GUARANTEED_100_PERCENT | 0 | Zu 100% garantiert... |
| GUARANTEED_STUFF | 0 | Garantiertes Einkommen |
| HABEAS_ACCREDITED_COI | -8.0 | Habeas Accredited Confirmed Opt-In or Better |
| HABEAS_ACCREDITED_SOI | -4.3 | Habeas Accredited Opt-In or Better |
| HABEAS_CHECKED | -0.2 | Habeas Checked |
| HAIR_LOSS | 0 | Mittel gegen Haarausfall |
| HARDCORE_PORN | 1.440 | Eventuell Pornowerbung: "hard core" |
| HASHCASH_20 | -0.500 | Enthält korrekte Hashcash-Kennzeichnung (20 bits) |
| HASHCASH_21 | -0.700 | Enthält korrekte Hashcash-Kennzeichnung (21 bits) |
| HASHCASH_22 | -1.000 | Enthält korrekte Hashcash-Kennzeichnung (22 bits) |
| HASHCASH_23 | -2.000 | Enthält korrekte Hashcash-Kennzeichnung (23 bits) |
| HASHCASH_24 | -3.000 | Enthält korrekte Hashcash-Kennzeichnung (24 bits) |
| HASHCASH_25 | -4.000 | Enthält korrekte Hashcash-Kennzeichnung (25 bits) |
| HASHCASH_2SPEND | 0.100 | Hashcash-Markierung bereits in anderer Nachricht verwendet |
| HASHCASH_HIGH | -5.000 | Enthält korrekte Hashcash-Kennzeichnung (> 25 bits) |
| HDR_ORDER_MTSRIX | 0 | Reihenfolge von Kopfzeilen deutet auf Spam (MTSRIX) |
| HDR_ORDER_TRIMRS | 1.440 | Reihenfolge von Kopfzeilen deutet auf Spam (TRIMRS) |
| HEADER_COUNT_CTYPE | 1.440 | Kopfzeile "Content-Type" mehrfach vorhanden |
| HEADER_SPAM | 3.115 | Bulk email fingerprint (header-based) found |
| HEAD_ILLEGAL_CHARS | 1.519 | Kopfzeilen enthalten zu viele ungültige Zeichen |
| HEAD_LONG | 2.5 | Message headers are very long |
| HELO_DYNAMIC_ADELPHIA | 1.680 | HELO-Rechnername verdächtig (Adelphia) |
| HELO_DYNAMIC_ATTBI | 2.400 | HELO-Rechnername verdächtig (ATTBI.com) |
| HELO_DYNAMIC_CHELLO_NL | 0 | HELO-Rechnername verdächtig (Chello.nl) |
| HELO_DYNAMIC_CHELLO_NO | 0 | HELO-Rechnername verdächtig (Chello.no) |
| HELO_DYNAMIC_COMCAST | 2.800 | HELO-Rechnername verdächtig (Comcast) |
| HELO_DYNAMIC_DHCP | 0.5 | HELO-Rechnername verdächtig (DHCP) |
| HELO_DYNAMIC_DIALIN | 2.080 | HELO-Rechnername verdächtig (T-Dialin) |
| HELO_DYNAMIC_HCC | 2.5 | HELO-Rechnername verdächtig (HCC) |
| HELO_DYNAMIC_HEXIP | 1.280 | HELO-Rechnername verdächtig (Hexadezimale IP-Adresse) |
| HELO_DYNAMIC_HOME_NL | 1.600 | HELO-Rechnername verdächtig (Home.nl) |
| HELO_DYNAMIC_IPADDR | 3.5 | HELO-Rechnername verdächtig (IP-Adresse 1) |
| HELO_DYNAMIC_IPADDR2 | 2.0 | HELO-Rechnername verdächtig (IP-Adresse 2) |
| HELO_DYNAMIC_NTL | 1.360 | HELO-Rechnername verdächtig (NTL) |
| HELO_DYNAMIC_OOL | 1.839 | HELO-Rechnername verdächtig (OptOnline) |
| HELO_DYNAMIC_ROGERS | 1.203 | HELO-Rechnername verdächtig (Rogers) |
| HELO_DYNAMIC_RR2 | 1.440 | HELO-Rechnername verdächtig (RR 2) |
| HELO_DYNAMIC_SPLIT_IP | 2.880 | HELO-Rechnername verdächtig (getrennte IP-Adresse) |
| HELO_DYNAMIC_TELIA | 0 | HELO-Rechnername verdächtig (Telia) |
| HELO_DYNAMIC_VELOX | 0 | HELO-Rechnername verdächtig (Veloxzone) |
| HELO_DYNAMIC_VTR | 1.492 | HELO-Rechnername verdächtig (VTR) |
| HELO_DYNAMIC_YAHOOBB | 2.240 | HELO-Rechnername verdächtig (YahooBB) |
| HG_HORMONE | 1.472 | Erwähnt menschliche Wachstumshormone |
| HIDDEN_CHARGES | 0.752 | Erwähnt versteckte Kosten |
| HIDE_WIN_STATUS | 0 | JavaScript-Anweisungen verstecken Hyperlinks |
| HIGH_CODEPAGE_URI | 2.5 | |
| HOT_NASTY | 0 | Eventuell Pornowerbung: heiß, unartig, wild und jung |
| HTML_00_10 | 0.642 | Nachricht besteht zu 0-10% aus HTML |
| HTML_10_20 | 0.945 | Nachricht besteht zu 10-20% aus HTML |
| HTML_20_30 | 0 | Nachricht besteht zu 20-30% aus HTML |
| HTML_30_40 | 0 | Nachricht besteht zu 30-40% aus HTML |
| HTML_40_50 | 0 | Nachricht besteht zu 40-50% aus HTML |
| HTML_50_60 | 0 | Nachricht besteht zu 50-60% aus HTML |
| HTML_60_70 | 0 | Nachricht besteht zu 60-70% aus HTML |
| HTML_70_80 | 0 | Nachricht besteht zu 70-80% aus HTML |
| HTML_80_90 | 0 | Nachricht besteht zu 80-90% aus HTML |
| HTML_90_100 | 0 | Nachricht besteht zu 90-100% aus HTML |
| HTML_ATTR_BAD | 0 | HTML-Markierungen mit vielen ungültigen Attributen |
| HTML_ATTR_UNIQUE | 0 | HTML-Markierungen mit zufälligen Attributen |
| HTML_BACKHAIR_2 | 0 | HTML-Markierungen sollen Wörter tarnen |
| HTML_BACKHAIR_4 | 0 | HTML-Markierungen sollen Wörter tarnen |
| HTML_BACKHAIR_8 | 0.130 | HTML-Markierungen sollen Wörter tarnen |
| HTML_BADTAG_00_10 | 0 | Nachricht enthält 0-10% inkorrekte HTML-Syntax |
| HTML_BADTAG_10_20 | 0 | Nachricht enthält 10-20% inkorrekte HTML-Syntax |
| HTML_BADTAG_20_30 | 0 | Nachricht enthält 20-30% inkorrekte HTML-Syntax |
| HTML_BADTAG_30_40 | 0.228 | Nachricht enthält 30-40% inkorrekte HTML-Syntax |
| HTML_BADTAG_40_50 | 0 | Nachricht enthält 40-50% inkorrekte HTML-Syntax |
| HTML_BADTAG_50_60 | 0.263 | Nachricht enthält 50-60% inkorrekte HTML-Syntax |
| HTML_BADTAG_60_70 | 0.819 | Nachricht enthält 60-70% inkorrekte HTML-Syntax |
| HTML_BADTAG_70_80 | 1.577 | Nachricht enthält 70-80% inkorrekte HTML-Syntax |
| HTML_BADTAG_80_90 | 0.167 | Nachricht enthält 80-90% inkorrekte HTML-Syntax |
| HTML_BADTAG_90_100 | 0.846 | Nachricht enthält 90-100% inkorrekte HTML-Syntax |
| HTML_CHARSET_FARAWAY | 0.500 | Fremdsprachlicher Zeichensatz für HTML benutzt |
| HTML_COMMENT_SAVED_URL | 0.647 | Nachricht ist eine gespeicherte Webseite |
| HTML_COMMENT_SHORT | 0 | HTML-Kommentar ist sehr kurz |
| HTML_EHTML2 | 2.114 | HTML has doubled end HTML tag |
| HTML_EMBEDS | 0.273 | HTML-Nachricht mit eingebettetem WWW-Plugin |
| HTML_EVENT_UNSAFE | 0 | HTML mit unsicheren, automatisch ausgeführten Programmanweisungen |
| HTML_EXTRA_CLOSE | 2.699 | HTML contains far too many close tags |
| HTML_FONT_BIG | 0.256 | HTML-Markierung für große Schriftart |
| HTML_FONT_FACE_BAD | 0.452 | HTML-Schriftart inkorrekt angegeben |
| HTML_FONT_FACE_CAPS | 0 | Name der HTML-Schriftart mit zusätzlichen Großbuchstaben |
| HTML_FONT_INVISIBLE | 1.0 | Gleiche HTML-Schriftfarbe wie der Hintergrund |
| HTML_FONT_LOW_CONTRAST | 0.766 | HTML-Schriftfarbe ähnlich der Hintergrundfarbe |
| HTML_FONT_SIZE_HUGE | 0 | HTML-Schriftgröße ist riesig |
| HTML_FONT_SIZE_LARGE | 1.575 | HTML-Schriftgröße ist sehr groß |
| HTML_FONT_SIZE_NONE | 0 | HTML-Schriftgröße ist negativ |
| HTML_FONT_SIZE_TINY | 0 | HTML-Schriftgröße ist winzig |
| HTML_FONT_TINY | 0 | HTML-Markierung für winzige Schriftgröße |
| HTML_FORMACTION_MAILTO | 1.760 | HTML-Formular in Nachricht verschickt E-mail |
| HTML_IMAGE_ONLY_04 | 3.5 | Außer Bildern nur 0-400 Zeichen Text |
| HTML_IMAGE_ONLY_08 | 3.0 | Außer Bildern nur 400-800 Zeichen Text |
| HTML_IMAGE_ONLY_12 | 2.5 | Außer Bildern nur 800-1200 Zeichen Text |
| HTML_IMAGE_ONLY_16 | 2.5 | Außer Bildern nur 1200-1600 Zeichen Text |
| HTML_IMAGE_ONLY_20 | 0.640 | Außer Bildern nur 1600-2000 Zeichen Text |
| HTML_IMAGE_ONLY_24 | 2.0 | Außer Bildern nur 2000-2400 Zeichen Text |
| HTML_IMAGE_ONLY_28 | 1.014 | HTML: images with 2400-2800 bytes of words |
| HTML_IMAGE_ONLY_32 | 0.836 | HTML: images with 2800-3200 bytes of words |
| HTML_IMAGE_ONLY_45 | 2.0 | HTML: images with 3200 to 4500 bytes of words |
| HTML_IMAGE_ONLY_80 | 2.0 | HTML: images with 4500 to 8000 bytes of words |
| HTML_IMAGE_RATIO_02 | 0.192 | Verhältnis Bilderfläche zu Text ist klein |
| HTML_IMAGE_RATIO_04 | 0 | Verhältnis Bilderfläche zu Text ist klein |
| HTML_IMAGE_RATIO_06 | 0 | Verhältnis Bilderfläche zu Text ist klein |
| HTML_IMAGE_RATIO_08 | 0 | Verhältnis Bilderfläche zu Text ist klein |
| HTML_LINK_OPT_OUT | 0 | HTML link text says "opt out" or similar |
| HTML_LINK_PUSH_HERE | 0.402 | Hyperlink sagt "push here" |
| HTML_MESSAGE | 0.001 | Nachricht enthält HTML |
| HTML_MIME_NO_HTML_TAG | 0.512 | Nachricht besteht nur aus HTML, hat aber kein "html"-Element |
| HTML_MISSING_CTYPE | 2.010 | HTML-Nachricht ohne passende Kopfzeile "Content-Type" |
| HTML_NONELEMENT_00_10 | 0 | 0-10% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_NONELEMENT_10_20 | 0 | 10-20% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_NONELEMENT_20_30 | 0 | 20-30% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_NONELEMENT_30_40 | 0 | 30-40% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_NONELEMENT_40_50 | 0 | 40-50% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_NONELEMENT_50_60 | 0 | 50-60% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_NONELEMENT_60_70 | 0.316 | 60-70% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_NONELEMENT_70_80 | 1.353 | 70-80% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_NONELEMENT_80_90 | 0 | 80-90% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_NONELEMENT_90_100 | 0 | 90-100% der HTML-Elemente entsprechen nicht dem Standard |
| HTML_OBFUSCATE_05_10 | 1.0 | Nachrichtentext enthält 0-10% wirres HTML |
| HTML_OBFUSCATE_10_20 | 1.397 | Nachrichtentext enthält 10-20% wirres HTML |
| HTML_OBFUSCATE_20_30 | 2.720 | Nachrichtentext enthält 20-30% wirres HTML |
| HTML_OBFUSCATE_30_40 | 2.480 | Nachrichtentext enthält 30-40% wirres HTML |
| HTML_OBFUSCATE_40_50 | 2.160 | Nachrichtentext enthält 40-50% wirres HTML |
| HTML_OBFUSCATE_50_60 | 2.061 | Nachrichtentext enthält 50-60% wirres HTML |
| HTML_OBFUSCATE_60_70 | 1.592 | Nachrichtentext enthält 60-70% wirres HTML |
| HTML_OBFUSCATE_70_80 | 1.507 | Nachrichtentext enthält 70-80% wirres HTML |
| HTML_OBFUSCATE_80_90 | 1.191 | Nachrichtentext enthält 80-90% wirres HTML |
| HTML_OBFUSCATE_90_100 | 0 | Nachrichtentext enthält 90-100% wirres HTML |
| HTML_SHORT_CENTER | 2.105 | Wenig HTML mit "center"-Element |
| HTML_SHORT_COMMENT | 0.294 | Wenig HTML und dann noch Kommentare |
| HTML_SHORT_LENGTH | 0.629 | Sehr, sehr kleiner HTML-Teil |
| HTML_SHORT_LINK_IMG_1 | 0.275 | HTML is very short with a linked image |
| HTML_SHORT_LINK_IMG_2 | 0.951 | HTML is very short with a linked image |
| HTML_SHORT_LINK_IMG_3 | 0.518 | HTML is very short with a linked image |
| HTML_SHOUTING3 | 0 | Viele visuell auffällige ("schreiende") HTML-Elementn |
| HTML_SHOUTING4 | 0 | Viele visuell auffällige ("schreiende") HTML-Elemente |
| HTML_SHOUTING5 | 0.169 | Viele visuell auffällige ("schreiende") HTML-Elemente |
| HTML_SHOUTING6 | 0 | Viele visuell auffällige ("schreiende") HTML-Elemente |
| HTML_SHOUTING7 | 0.121 | Viele visuell auffällige ("schreiende") HTML-Elemente |
| HTML_TAG_BALANCE_BODY | 0.180 | Anzahl "body"-Tags nicht ausgeglichen |
| HTML_TAG_BALANCE_HEAD | 1.159 | Anzahl "head"-Tags nicht ausgeglichen |
| HTML_TAG_EXIST_BGSOUND | 1.920 | HTML has "bgsound" tag |
| HTML_TAG_EXIST_MARQUEE | 1.348 | HTML-Element "marquee" gefunden |
| HTML_TAG_EXIST_TBODY | 0.126 | HTML-Element "tbody" gefunden |
| HTML_TEXT_AFTER_BODY | 0 | Text nach Endmarkierung "/body" |
| HTML_TEXT_AFTER_HTML | 0 | Text nach Endmarkierung "/html" |
| HTML_TINY_FONT | 1.425 | body contains 1 or 0-point font |
| HTML_TITLE_EMPTY | 0 | HTML-Nachricht mit leerem Titel |
| HTML_TITLE_LONG | 1.329 | HTML title is very long |
| HTML_TITLE_SUBJ_DIFF | 0.551 | |
| HTML_TITLE_UNTITLED | 0 | HTML-Nachricht mit Titel "Untitled" |
| HTTPS_IP_MISMATCH | 1.920 | IP to HTTPS link found in HTML |
| HTTP_77 | 2.658 | Enthält URL mit kodiertem Rechnernamen |
| HTTP_CTRL_CHARS_HOST | 1.259 | Benutzt Steuerzeichen innerhalb des URL-Rechnernamens |
| HTTP_ESCAPED_HOST | 0 | Benutzt %-Kodierung innerhalb des Hyperlinks |
| HTTP_EXCESSIVE_ESCAPES | 1.146 | Überflüssige %-Kodierung in Webadresse |
| IMPOTENCE | 0.592 | Beseitigt Impotenz |
| INFO_TLD | 0.813 | Hyperlink mit ".info"-Domain |
| INTERRUPTUS | 0.533 | Message looks to contain HTML-interrupted text |
| INVALID_DATE | 1.760 | Datumskopfzeile nicht standardkonform zu RFC 2822 |
| INVALID_DATE_TZ_ABSURD | 1.346 | Ungültiges Datum, diese Zeitzone existiert nicht |
| INVALID_MSGID | 1.710 | "Message-ID"-Zeile ist ungültig gemäß RFC-2822 |
| INVALID_TZ_CST | 0.153 | Ungültiges Datum in Kopfzeile (falsche CST Zeitzone) |
| INVALID_TZ_EST | 0.737 | Ungültiges Datum in Kopfzeile (falsche EST Zeitzone) |
| INVALID_TZ_GMT | 1.111 | Ungültiges Datum in Kopfzeile (falsche GMT/UTC Zeitzone) |
| INVESTMENT_ADVICE | 2.960 | Message mentions investment advice |
| INVESTMENT_EXPERT | 2.640 | Message mentions investment expert |
| IP_LINK_PLUS | 1.047 | IP-Adresse (a.b.c.d) gefolgt von CGI-Programm |
| JAPANESE_UCE_SUBJECT | 1.360 | Betreff enthält japanische Werbungskennzeichnung |
| JOIN_MILLIONS | 0 | Machen Sie es Millionen von Amerikanern nach |
| JS_FROMCHARCODE | 0 | Dokument wird aus JavaScript-Programm erzeugt |
| KOREAN_UCE_SUBJECT | 2.480 | Betreff enthält koreanische Werbungskennzeichnung |
| LIVE_PORN | 0.332 | Eventuell Pornowerbung: Seien Sie live dabei |
| LOCALPART_IN_SUBJECT | 1.561 | Local part of To: address appears in Subject |
| LONGWORDS | 2.957 | Eine Reihe von langen Wörtern hintereinander |
| LOTS_OF_STUFF | 0 | Tausende/Millionen von Pornobildern |
| LOW_PRICE | 0 | Niedrigste Preise |
| MAILTO_SUBJ_REMOVE | 0 | Hyperlink mit "mailto:" soll Sie von der Adressliste entfernen |
| MAILTO_TO_REMOVE | 0.484 | Enthält eine E-Mail-Adresse mit "remove" |
| MAILTO_TO_SPAM_ADDR | 0.276 | Hyperlink mit E-Mail-Adresse eines verdächtigten Spam-Versenders |
| MALE_ENHANCE | 2.480 | Message talks about enhancing men |
| MANY_DUL | -1.0 | |
| MANY_EXCLAMATIONS | 0 | Betreff enthält viele Ausrufezeichen |
| MARKETING_PARTNERS | 1.435 | Angeblich haben Sie sich bei einem Partnerunternehmen registriert |
| MEET_SINGLES | 0.370 | Treffen Sie andere alleinstehend Menschen |
| MICROSOFT_EXECUTABLE | 0.100 | Message includes Microsoft executable program |
| MICRO_CAP_WARNING | 1.280 | Warnung vor Billigaktien gemäß US-Börsenaufsichtsbestimmungen |
| MILLION_USD | 2.0 | Erwähnt Millonen von Dollar |
| MIME_BAD_ISO_CHARSET | 3.360 | MIME character set is an unknown ISO charset |
| MIME_BASE64_BLANKS | 0 | Überflüssige Leerzeilen bei der base64-Kodierung |
| MIME_BASE64_NO_NAME | 0 | base64-Anhang hat keinen Dateinamen |
| MIME_BASE64_TEXT | 1.522 | Text getarnt durch base64-Kodierung |
| MIME_BOUND_DD_DIGITS | 3.600 | Bestimmtes Muster von Spam-Software in MIME-Begrenzung |
| MIME_BOUND_DIGITS_15 | 2.400 | Bestimmtes Muster von Spam-Software in MIME-Begrenzung |
| MIME_BOUND_DIGITS_7 | 0 | Bestimmtes Muster von Spam-Software in MIME-Begrenzung |
| MIME_BOUND_MANY_HEX | 2.144 | Bestimmtes Muster von Spam-Software in MIME-Begrenzung |
| MIME_BOUND_NEXTPART | 0.241 | Bestimmtes Muster von Spam-Software in MIME-Begrenzung |
| MIME_BOUND_RKFINDY | 2.160 | Bestimmtes Muster von Spam-Software in MIME-Begrenzung (rfkindy) |
| MIME_CHARSET_FARAWAY | 2.450 | MIME-Zeichensatz deutet auf fremde Sprache hin |
| MIME_HEADER_CTYPE_ONLY | 0 | Kopfzeile "Content-Type" ohne MIME-Kopfzeilen gefunden |
| MIME_HTML_MOSTLY | 0.699 | Mehrteilige MIME-Nachricht überwiegend in HTML |
| MIME_HTML_ONLY | 0.001 | MIME-Nachricht besteht nur aus HTML |
| MIME_HTML_ONLY_MULTI | 0 | Mehrteilige MIME-Nachricht besteht nur aus HTML |
| MIME_MISSING_BOUNDARY | 0 | Fehlende Begrenzung eines MIME-Abschnitts |
| MIME_QP_LONG_LINE | 0 | "quoted-printable"-kodierte Zeile länger als 76 Zeichen |
| MIME_SUSPECT_NAME | 0.100 | MIME-Dateiname entspricht nicht dem MIME-Typ |
| MISSING_DATE | 0 | Datumskopfzeile fehlt |
| MISSING_HB_SEP | 2.5 | Missing blank line between message header and body |
| MISSING_HEADERS | 0.189 | Empfängeradresse ("To") fehlt |
| MISSING_MIMEOLE | 1.394 | Kopfzeile "X-MSMail-Priority" aber kein "X-MimeOLE" |
| MISSING_MIME_HB_SEP | 0 | Missing blank line between MIME header and body |
| MISSING_SUBJECT | 1.345 | Betreff ("Subject") fehlt |
| ML_MARKETING | 1.310 | Erwähnt Betrug mit Pyramidensystemen |
| MONEY_BACK | 0 | Mit Geld-zurück Garantie |
| MORE_SEX | 2.035 | Werden Sie sexuell aktiver |
| MORTGAGE_BEST | 0 | Informationen über Hypothekendarlehen |
| MORTGAGE_PITCH | 0 | Preist Hypothekendarlehen an |
| MORTGAGE_RATES | 0 | Informationen über Hypothekendarlehen |
| MPART_ALT_DIFF | 3 | Nachrichtentext im Text- und HTML-Format unterscheiden sich |
| MPART_ALT_DIFF_COUNT | 0 | HTML and text parts are different |
| MSGID_DOLLARS | 2.163 | Muster in Kopfzeile "Message-ID" typisch für Spam |
| MSGID_DOLLARS_RANDOM | 3.200 | |
| MSGID_FROM_MTA_HEADER | 0 | Kopfzeile "Message-ID" von fremdem Senderechner hinzugefügt |
| MSGID_FROM_MTA_HOTMAIL | 0 | Kopfzeile "Message-ID" von hotmail.com Senderechner hinzugefügt |
| MSGID_FROM_MTA_ID | 2.5 | Kopfzeile "Message-ID" wurde lokal hinzugefügt |
| MSGID_LONG | 0.267 | Message-ID is unusually long |
| MSGID_MULTIPLE_AT | 1.375 | Message-ID contains multiple '@' characters |
| MSGID_NO_HOST | 0.129 | Rechnername fehlt in Kopfzeile "Message-ID" |
| MSGID_OUTLOOK_INVALID | 2.027 | Gefälschte Kopfzeile "Message-ID" im Format von Outlook Express |
| MSGID_RANDY | 2.165 | Muster in Kopfzeile "Message-ID" typisch für Spam |
| MSGID_RATWARE1 | 1.810 | Bulk email fingerprint found |
| MSGID_SHORT | 2.465 | Message-ID is unusually short |
| MSGID_SPAM_99X9XX99 | 0 | Kopfzeile "Message-ID" von Spam-Software erzeugt (99x9xx99) |
| MSGID_SPAM_ALPHA_NUM | 1.920 | Kopfzeile "Message-ID" von Spam-Software erzeugt (alphanumerisch) |
| MSGID_SPAM_CAPS | 3.520 | Kopfzeile "Message-ID" von Spam-Software erzeugt (Großbuchstaben) |
| MSGID_SPAM_LETTERS | 2.349 | Kopfzeile "Message-ID" von Spam-Software erzeugt (Buchstaben) |
| MSGID_SPAM_ZEROES | 1.360 | Kopfzeile "Message-ID" von Spam-Software erzeugt (12-Nullen) |
| MSGID_YAHOO_CAPS | 1.273 | Kopfzeile "Message-ID" enthält GROSSBUCHSTABEN@yahoo.com |
| MULTI_FORGED | 1.031 | Mehrfach gefälschte "Received"-Kopfzeilen |
| MULTI_STOCK | 3.0 | contains several stock properties |
| MYTOB | 4.0 | Contains W32/Mytob string +++ Attachment: No |
| NASTY_GIRLS | 1.344 | Eventuell Pornowerbung: Ungezogene Mädchen |
| NA_DOLLARS | 0.609 | Handelt von einer Million Dollar aus den US oder Kanada |
| NONEXISTENT_CHARSET | 1.280 | Den angegebenen Zeichensatz gibt es nicht |
| NORMAL_HTTP_TO_IP | 2.0 | Benutzt eine IP-Adresse (a.b.c.d) in einem Hyperlink |
| NOT_ADVISOR | 2.160 | Dreht sich um einen nicht registrierten Investmentberater |
| NO_COST | 0 | Bietet etwas völlig kostenlos an... |
| NO_DNS_FOR_FROM | 2.603 | Domain der Absendeadresse nicht im DNS registriert (kein MX/A Eintrag) |
| NO_FORMS | 0.501 | Keine Formulare notwendig |
| NO_MEDICAL | 1.259 | Keine medizinischen Examen nötig |
| NO_OBLIGATION | 0.303 | Völlig ohne Verpflichtung |
| NO_PRESCRIPTION | 2.888 | No prescription needed |
| NO_RDNS_DOTCOM_HELO | 0 | HELO-Identifikation als großer Provider, aber rDNS-Name inkorrekt |
| NO_REAL_NAME | 0.550 | Kein vollständiger Name in Absendeadresse |
| NO_RECEIVED | -0.001 | Informational: message has no Received headers |
| NO_RELAYS | -0.001 | Informational: message was not relayed via SMTP |
| NUMERIC_HTTP_ADDR | 0.585 | Benutzt eine einzige Zahl als IP-Adresse in einem Hyperlink |
| OBFUSCATING_COMMENT | 1.117 | HTML-Kommentar versucht Text zu verschleiern |
| OBF_STOCK | 2.0 | body with words where O replaced by zero |
| OBF_STOCK2 | 2.0 | body with words containing d1gits |
| OBF_STOCK3 | 2.0 | body with words containing d1gits |
| OBF_STOCK4 | 3.0 | body obfuscating stock terms |
| OBSCURED_EMAIL | 1.680 | Eventuell ROT13-kodierte E-mail-Adresse im Text |
| OFFSHORE_SCAM | 0.147 | Dubiose Finanztransaktionen im Ausland ("offshore") |
| ONE_TIME | 1.138 | Einmaliges Angebot/Gelegenheit |
| ONLINE_PHARMACY | 2.102 | Internetapotheke |
| OPTING_OUT_CAPS | 0 | "Falls Sie nicht mitmachen wollen..." (Opt-Out) |
| ORG_MIME_TOOLS | 1.760 | Organization is MIME-tools |
| PERCENT_RANDOM | 1.439 | Message has a random macro in it |
| PLING_PLING | 0.461 | Ungewöhnlich viele Ausrufezeichen im Betreff |
| PLING_QUERY | 0.326 | Betreff enthält Ausrufe- und Fragezeichen |
| PORN_15 | 1.117 | Worte und Phrasen weisen auf Pornographie hin |
| PORN_16 | 2 | Worte und Phrasen weisen auf Pornographie hin |
| PORN_URL_MISC | 0 | Worte/Phrasen in URL weisen auf Pornographie hin (diverse) |
| PORN_URL_SEX | 0.261 | Worte/Phrasen in URL weisen auf Pornographie hin (sex) |
| PORN_URL_SLUT | 0 | Worte/Phrasen in URL weisen auf Pornographie hin slut) |
| PREST_NON_ACCREDITED | 1.280 | Kaufen Sie Studienabschlüsse obskurer Universitäten |
| PREVENT_NONDELIVERY | 1.640 | Message has Prevent-NonDelivery-Report header |
| PRICES_ARE_AFFORDABLE | 0.522 | Message says that prices aren't too expensive |
| PRIORITY_NO_NAME | 2.155 | Enthält Kopfzeile "X-Priority" aber kein "X-Mailer" |
| PYZOR_CHECK | 2.834 | Gelistet im Pyzor-System (http://pyzor.sf.net/) |
| QUALIFY_FOR_THIS | 1.422 | Qualify for this special... |
| RATWARE_BOUND_PIECE | 1.680 | Bulk email fingerprint (piece boundary) found |
| RATWARE_EFROM | 2.880 | Bulk email fingerprint (envfrom) found |
| RATWARE_EGROUPS | 2.487 | Nachrichtenstruktur weist auf Spam-Software hin (eGroups) |
| RATWARE_GECKO_BUILD | 1.426 | Kopfzeilen enthalten gefälschte Hinweise auf Mozilla/Gecko |
| RATWARE_HASH_2 | 1.949 | Nachrichtenstruktur weist auf Spam-Software hin (Identifizierungsnummer) |
| RATWARE_HASH_2_V2 | 2.000 | Nachrichtenstruktur weist auf Spam-Software hin (Identifizierungsnummer) |
| RATWARE_HASH_DASH | 0 | Enthält Abwehrmaßnahme gegen Anti-Spam-Software ("hashbuster") |
| RATWARE_JPFREE | 1.280 | Nachrichtenstruktur weist auf Spam-Software hin ("jpfree") |
| RATWARE_MOZ_MALFORMED | 1.820 | Kopfzeilen enthalten gefälschte Hinweise auf Mozilla |
| RATWARE_MPOP_WEBMAIL | 0.118 | Bulk email fingerprint (mPOP Web-Mail) |
| RATWARE_MS_HASH | 1.379 | Bulk email fingerprint (msgid ms hash) found |
| RATWARE_NAME_ID | 3.280 | Bulk email fingerprint (msgid from) found |
| RATWARE_NETIP | 0.548 | Spamhinweise gefunden (netIP) |
| RATWARE_OE_MALFORMED | 2.400 | Kopfzeilen enthalten gefälschte Hinweise auf Outlook Express |
| RATWARE_OUTLOOK_NONAME | 1.861 | Bulk email fingerprint (Outlook no name) found |
| RATWARE_RCVD_AT | 2.590 | "Received"-Kopfzeile mit @-Zeichen |
| RATWARE_RCVD_LC_ESMTP | 0 | Nachrichtenstruktur weist auf Spam-Software hin ("esmtp" in Kleinbuchstaben) |
| RATWARE_RCVD_PF | 2.880 | Gefälschte "Received"-Kopfzeile von Postfix |
| RATWARE_STORM_URI | 0 | Nachrichtenstruktur weist auf Spam-Software hin ("StormPost") |
| RATWARE_ZERO_TZ | 3.087 | Seltsame Zeitzone (+0000) |
| RAZOR2_CF_RANGE_51_100 | 0.5 | Razor2 Spam-Bewertung liegt zwischen 51 und 100 |
| RAZOR2_CF_RANGE_E4_51_100 | 1.5 | Razor2 gives engine 4 confidence level above 50% |
| RAZOR2_CF_RANGE_E8_51_100 | 1.5 | Razor2 gives engine 8 confidence level above 50% |
| RAZOR2_CHECK | 0.5 | Gelistet im "Razor2"-System (http://razor.sf.net/) |
| RCVD_AM_PM | 1.726 | Gefälschte "Received"-Kopfzeilen (AM/PM Zeitangabe) |
| RCVD_BONUS_SPC_DATE | 0 | Zusätzliche Leerzeichen im Datum |
| RCVD_BY_IP | 0 | Transportiert durch Rechner ohne Namen |
| RCVD_DOUBLE_IP_LOOSE | 0 | Empfänger/Sender in Kopfzeilen sehen aus wie IP-Adressen |
| RCVD_DOUBLE_IP_SPAM | 3.455 | Kennzeichen von Spam-Software (doppelte IP-Adresse) |
| RCVD_FAKE_HELO_DOTCOM | 1.652 | "Received"-Kopfzeilen enthalten gefälschten HELO-Rechnernamen |
| RCVD_HELO_IP_MISMATCH | 1.5 | HELO-Name und IP-Adresse in Kopfzeilen passen nicht |
| RCVD_ILLEGAL_IP | 0.234 | "Received"-Kopfzeilen enthalten ungültige IP-Adresse |
| RCVD_IN_BL_SPAMCOP_NET | 3 | Transportiert via Rechner in Liste von www.spamcop.net |
| RCVD_IN_BSP_OTHER | -0.1 | Senderechner in Liste von http://www.bondedsender.org/ |
| RCVD_IN_BSP_TRUSTED | -4.3 | Senderechner in Liste von http://www.bondedsender.org/ |
| RCVD_IN_DSBL | 4 | Transportiert via Rechner in Liste von list.dsbl.org |
| RCVD_IN_IADB_VOUCHED | -1.825 | ISIPP IADB lists as vouched-for sender |
| RCVD_IN_MAPS_DUL | 0 | Transportiert via Rechner in Liste von http://www.mail-abuse.org/dul/ |
| RCVD_IN_MAPS_NML | 0 | Transportiert via Rechner in Liste von http://www.mail-abuse.org/nml/ |
| RCVD_IN_MAPS_RBL | 0 | Transportiert via Rechner in Liste von http://www.mail-abuse.org/rbl/ |
| RCVD_IN_MAPS_RSS | 0 | Transportiert via Rechner in Liste von http://www.mail-abuse.org/rss/ |
| RCVD_IN_NJABL_CGI | 0 | NJABL: Gesendet über ein veraltetes und ungesichertes Webformular |
| RCVD_IN_NJABL_DUL | 2 | NJABL: Senderechner nur temporär mit Internet verbunden |
| RCVD_IN_NJABL_MULTI | 0 | NJABL: Mehrfach über "open relay"-Rechner weitergeleitet |
| RCVD_IN_NJABL_PROXY | 1.5 | NJABL: Senderechner als "open proxy" gemeldet |
| RCVD_IN_NJABL_RELAY | 0 | NJABL: Senderechner als "Open Relay" bestätigt |
| RCVD_IN_NJABL_SPAM | 1.905 | NJABL: Senderechner ist bestätigter Spam-Versender |
| RCVD_IN_SBL | 2.0 | Transportiert via Rechner in SBL-Liste (http://www.spamhaus.org/sbl/) |
| RCVD_IN_SORBS_BLOCK | 0 | SORBS: Senderechner verweigert Tests |
| RCVD_IN_SORBS_DUL | 1 | SORBS: Senderechner nur temporär mit Internet verbunden |
| RCVD_IN_SORBS_HTTP | 0 | SORBS: Senderechner als "open HTTP proxy" gemeldet |
| RCVD_IN_SORBS_MISC | 0 | SORBS: Senderechner als "open proxy" gemeldet |
| RCVD_IN_SORBS_SMTP | 0 | SORBS: Senderechner ist ein ungesicherter Mail-Server |
| RCVD_IN_SORBS_SOCKS | 1.823 | SORBS: Senderechner als "open SOCKS proxy" gemeldet |
| RCVD_IN_SORBS_WEB | 1.236 | SORBS: Senderechner ist ein ungesicherter WWW-Server |
| RCVD_IN_SORBS_ZOMBIE | 0.240 | SORBS: Senderechner in Liste "entführter" Adressblöcke |
| RCVD_IN_WHOIS_BOGONS | 0 | CompleteWhois: sender on bogons IP block |
| RCVD_IN_WHOIS_HIJACKED | 0 | CompleteWhois: sender on hijacked IP block |
| RCVD_IN_WHOIS_INVALID | 0 | CompleteWhois: sender on invalid IP block |
| RCVD_IN_XBL | 3.5 | Transportiert via Rechner in XBL-Liste (http://www.spamhaus.org/xbl/) |
| RCVD_NUMERIC_HELO | 2.5 | "Received"-Kopfzeilen enthalten numerische HELO-Identifikation |
| RCV_ACAT | -3.0 | Received from several Austrian University Networks |
| RCV_CHELLO | -3.0 | Received from Chello |
| RCV_EXCHANGE | -10.0 | Received from Exchange |
| RCV_INODE | -3.0 | Received via Inode |
| RCV_SMTP_AUTH | -5.0 | Received with authenticated SMTP at uibk |
| RCV_SMTP_UIBK | -3.0 | Received by smtp.uibk.ac.at |
| RCV_TILAK | -3.0 | Received via Tilak |
| RCV_WEBMAIL | -3.0 | Received from Web-Mail |
| RECEIVE_OFFER | 0 | Ein spezielles Angebot für Sie |
| REFINANCE_NOW | 0.872 | Dreht sich um Baufinanzierung |
| REFINANCE_YOUR_HOME | 0.980 | Dreht sich um Baufinanzierung |
| REMOVE_BEFORE_LINK | 2.152 | Removal phrase right before a link |
| REMOVE_PAGE | 0 | Hyperlink einer Seite, die "remove" heißt |
| REMOVE_POSTAL | 0 | Senden Sie Brief/Postkarte um aus der Liste entfernt zu werden... |
| REPLICA_WATCH | 2.320 | Message talks about a replica watch |
| REPLY_TO_EMPTY | 0.640 | Kopfzeile "Reply-To" ist vorhanden aber leer |
| REPTO_OVERQUOTE_THEBAT | 2.146 | The Bat! doesn't do quoting like this |
| REPTO_QUOTE_AOL | 0 | AOL doesn't do quoting like this |
| REPTO_QUOTE_IMS | 0 | IMS doesn't do quoting like this |
| REPTO_QUOTE_MSN | 2.800 | MSN doesn't do quoting like this |
| REPTO_QUOTE_QUALCOMM | 0 | Qualcomm/Eudora doesn't do quoting like this |
| REPTO_QUOTE_YAHOO | 2.181 | Yahoo! doesn't do quoting like this |
| RESISTANCE_IS_FUTILE | 0 | Widerstand gegen diesen Spam ist zwecklos... |
| REVERSE_AGING | 1.600 | Halten Sie den Alterungsprozess auf |
| RISK_FREE | 0 | Ganz ohne Risiko |
| ROUND_THE_WORLD | 1.267 | "Received"-Kopfzeilen belegen Versand rund um die Welt (DNS) |
| ROUND_THE_WORLD_LOCAL | 1.429 | "Received"-Kopfzeilen belegen Versand rund um die Welt (HELO) |
| RUDE_HTML | 1.362 | Spammer message says you need an HTML mailer |
| SATIS_GUAR | 0 | Zufriedenheit ist garantiert |
| SAVE_THOUSANDS | 0 | Sparen Sie eine Menge Geld |
| SEE_FOR_YOURSELF | 0 | Sehen Sie selbst |
| SENT_IN_COMPLIANCE | 0.508 | Behauptet, den Vorschriften über Spam zu entsprechen |
| SMTP_REC_FLOHAU | -20.0 | Mail sent to Florian Hauser |
| SOMETHING_FOR_ADULTS | 0.872 | Eventuell Pornowerbung: Webseiten nur für Erwachsene |
| SOME_BREAKTHROUGH | 1.053 | Jemand hat den großen Durchbruch geschafft |
| SORTED_RECIPS | 2.500 | Empfänger sind nach Adressen sortiert |
| SPAM_HTML_IMG | 3.5 | SPAM within Image |
| SPAM_NUMBER | 6.0 | SPAM within Image |
| SPF_FAIL | 1.333 | SPF: Senderechner entspricht nicht SPF-Datensatz (fail) |
| SPF_HELO_FAIL | 0 | HELO-Name entspricht nicht SPF-Datensatz (fail) |
| SPF_HELO_NEUTRAL | 0 | SPF: HELO does not match SPF record (neutral) |
| SPF_HELO_PASS | -0.001 | SPF: HELO-Name entspricht dem SPF-Datensatz |
| SPF_HELO_SOFTFAIL | 2.078 | HELO-Name entspricht nicht SPF-Datensatz (softfail) |
| SPF_NEUTRAL | 1.379 | SPF: sender does not match SPF record (neutral) |
| SPF_PASS | -0.001 | SPF: Senderechner entspricht SPF-Datensatz |
| SPF_SOFTFAIL | 1.470 | Senderechner entspricht nicht SPF-Datensatz (softfail) |
| SPOOF_COM2COM | 1.938 | URI contains ".com" in middle and end |
| SPOOF_COM2OTH | 0 | URI contains ".com" in middle |
| SPOOF_NET2COM | 1.106 | URI contains ".net" or ".org", then ".com" |
| SPOOF_OURI | 0 | URI has items in odd places |
| STOCK1 | 2.0 | body with stock phrases |
| STOCK2 | 2.0 | body with stock phrases |
| STOCK3 | 3.0 | body with stock phrases |
| STOCK4 | 2.0 | body with stock prices |
| STOCK5 | 2.0 | body obfuscated Symbol ref |
| STOCKFRAUD | 3.0 | body with "ST0CKS featured" O replaced by zero |
| STOCK_ALERT | 1.760 | Bietet eine Benachrichtigung über Aktienwerte an |
| STRONG_BUY | 2.080 | Erwähnt eine starke Kaufempfehlung (von Aktien?) |
| STYLE_HIDD | 2.0 | Body contains style hidden textarea |
| SUBJECT_DIET | 0.623 | Betreff dreht sich um Gewichtsabnahme |
| SUBJECT_DRUG_GAP_C | 1.035 | Betreff enthält 'cialis' mit L.ü.c.k.e.n |
| SUBJECT_DRUG_GAP_L | 1.840 | Betreff enthält 'levitra' mit L.ü.c.k.e.n |
| SUBJECT_DRUG_GAP_P | 0.563 | Betreff enthält 'phentermine' mit L.ü.c.k.e.n |
| SUBJECT_DRUG_GAP_S | 0.378 | Betreff enthält 'soma' mit L.ü.c.k.e.n |
| SUBJECT_DRUG_GAP_VA | 2.442 | Betreff enthält 'valium' mit L.ü.c.k.e.n |
| SUBJECT_DRUG_GAP_VIC | 2.720 | Betreff enthält 'vicodin' mit L.ü.c.k.e.n |
| SUBJECT_DRUG_GAP_X | 2.334 | Betreff enthält 'xanax' mit L.ü.c.k.e.n |
| SUBJECT_ENCODED_TWICE | 0.2 | Subject: MIME encoded twice |
| SUBJECT_EXCESS_BASE64 | 0 | Subject: base64 encoded encoded unnecessarily |
| SUBJECT_EXCESS_QP | 0 | Subject: quoted-printable encoded unnecessarily |
| SUBJECT_FUZZY_CHEAP | 1.821 | Attempt to obfuscate words in Subject: |
| SUBJECT_FUZZY_MEDS | 2.873 | Attempt to obfuscate words in Subject: |
| SUBJECT_FUZZY_PENIS | 2.062 | Attempt to obfuscate words in Subject: |
| SUBJECT_FUZZY_TION | 1.468 | Attempt to obfuscate words in Subject: |
| SUBJECT_FUZZY_VPILL | 1.644 | Attempt to obfuscate words in Subject: |
| SUBJECT_IN_BLACKLIST | 100 | Subject: contains string in the user's black-list |
| SUBJECT_IN_WHITELIST | -100 | Subject: contains string in the user's white-list |
| SUBJECT_NOVOWEL | 0.131 | Subject: has long non-vowel letter sequence |
| SUBJECT_SEXUAL | 2.160 | Betreff weist auf sexuellen Nachrichtentext hin |
| SUBJ_2_NUM_PARENS | 1.074 | Betreff mit typischen Kennzeichen von Spam (2 Zahlen) |
| SUBJ_ADVERT | 2.0 | subject starts with advertisment |
| SUBJ_ALL_CAPS | 1.166 | Betreff enthält nur Großbuchstaben |
| SUBJ_ANSWER | 5.0 | Subject Re: ANSWER |
| SUBJ_ARB1 | 5.0 | subject contains Arbeitsstellen,Schnellkarriere |
| SUBJ_AS_SEEN | 0 | Betreff enthält "as seen" |
| SUBJ_ATTN_WINNER | 50.0 | Subject contains ATTN WINNER |
| SUBJ_BUY | 0.116 | Betreff dreht sich ums Kaufen ("buy...") |
| SUBJ_CAP | 2.0 | Subj cont someth like Small-Cap, MicroCap |
| SUBJ_CONSONANTS | 0 | Subject contains consecutive consonants in "word" |
| SUBJ_CREDIT1 | 1.0 | Subject contains credit |
| SUBJ_CREDIT2 | 3.0 | Subject contains credit |
| SUBJ_CTXE | 5.0 | Subject contains CTXE.PK |
| SUBJ_CYW | 10.0 | Subject is CONFIRM YOUR WINNING |
| SUBJ_DATE | 6.0 | Subject contains subjDATE |
| SUBJ_DOLLARS | 0.381 | Betreff beginnt mit einem Dollar-Betrag |
| SUBJ_DOWNL_S | 10.0 | Subject downloadable software |
| SUBJ_EMAILING | 3.0 | Subject STOCK-SPAM |
| SUBJ_EURO | 7.0 | Subject is n Euro frei |
| SUBJ_FAMILIEN | 2.0 | Subject contains Familien am Zug |
| SUBJ_FIFTH | 10.0 | Subject is FIFTH INTERNATIONAL SCIENTIFIC.. |
| SUBJ_FOR_ONLY | 0.316 | Betreff enthält "For Only" |
| SUBJ_FREE_CAP | 0 | Betreff enthält "FREE" in Großbuchstaben |
| SUBJ_GATES_1 | 50.0 | Subject contains Bill Gates verteilt Geld |
| SUBJ_GEIL | 10.0 | Subject is dauergeil |
| SUBJ_GEWONNEN | 10.0 | Subject haben nn Euro gewonnen |
| SUBJ_GIANNI | 6.0 | Subject FROM WENA GIANNI |
| SUBJ_GRUSS1 | 5.0 | Subject Sie haben eine Grusskarte bekommen |
| SUBJ_GUARANTEED | 1.421 | Betreff enthält "GUARANTEE" |
| SUBJ_HAS_SPACES | 0.651 | Betreff enthält sehr viele Leerzeichen |
| SUBJ_HAS_UNIQ_ID | 0 | Eindeutige Identifizierungskennzeichnung im Betreff |
| SUBJ_HEHE | 5.0 | Subject contains hehe|hihi |
| SUBJ_HMGP | 5.0 | Subject contains HMGP to Acquire Additional |
| SUBJ_HOMO_SIEMPRE | 10.0 | Subject homosexual desde siempre y nada |
| SUBJ_ILLEGAL_CHARS | 3.360 | Betreff enthält zu viele ungültige Zeichen |
| SUBJ_INC_4_DAY | 5.0 | Subject 76% increase in 4 days |
| SUBJ_IS_SPAM_REPORT | -25 | Mail is SPAM report |
| SUBJ_JOB | 6.0 | Subject contains JOB: Home Workers Needed |
| SUBJ_LETTER_RUS1 | 10.0 | Subject letter from Russia |
| SUBJ_LETTER_RUS2 | 10.0 | Subject Ask for help from Russia |
| SUBJ_LETTER_RUS3 | 6.0 | Subject Message from Russia |
| SUBJ_LIFE_INSURANCE | 1.520 | Betreff enthält "life insurance" |
| SUBJ_LOTTERY | 2 | Subject contains LOTTERY |
| SUBJ_LOTTERY2 | 10.0 | Subject is Lottery |
| SUBJ_MITARBEITER | 5.0 | Subject contains Neue Mitarbeiter gesucht|Mitarbeiter dringend gesucht|Firma sucht Mitarbeiter |
| SUBJ_MOBILF | 4.0 | Subject Mobilfunk |
| SUBJ_MOMENTOUS | 5.0 | Subject Momentous message. You have to read |
| SUBJ_MONSTER | 4.0 | Subject contains Wir suchen Mitarbeiter in EU |
| SUBJ_MSR | 7.0 | Subject Mail server report |
| SUBJ_MS_DOLLARS | 50.0 | Subject contains Dollars oder Euros von Microsoft |
| SUBJ_MS_VERSCHENKT | 50.0 | Subject contains Microsoft verschenkt Dollars |
| SUBJ_NUM_PDF | 7.0 | Subject cites PDF file |
| SUBJ_NUM_ZIP | 7.0 | Subject cites ZIP file |
| SUBJ_OBFSTOCK | 3.0 | Subj contains St0ck |
| SUBJ_OEMSW | 3.0 | Subject OEM Software |
| SUBJ_ONLY_NUM | 1.0 | subject contains only Numbers |
| SUBJ_ON_OTC | 5.0 | Subject contains on OTC |
| SUBJ_PENNY_ST | 2.0 | Subj cont someth like Penny Stock |
| SUBJ_PHIS_EBAY | 10.0 | Ebay phishing mail |
| SUBJ_POSTCARD | 2.0 | Subject contains You have received a postcard |
| SUBJ_PR1CE | 5.0 | Subject contains Pr1ce |
| SUBJ_PROOF | 7.0 | Subject Proofreading |
| SUBJ_QUOTES1 | 5.0 | Subject Quotes.com |
| SUBJ_RAIKA_PHISH6 | 50.0 | Subject contains Raiffeisenbank. Wichtiges Update |
| SUBJ_RE | 4.0 | Subject is Re[1]: |
| SUBJ_REHI | 4.0 | Subject is Re: Hi/News |
| SUBJ_REN | 3.0 | Subject is ReN: |
| SUBJ_RE_SMTH_N | 3.0 | Subject is Re: something numbers |
| SUBJ_SCREENSAVER_1 | 10.0 | Subject Dream is real |
| SUBJ_SCREENSAVER_2 | 10.0 | Look at this beautiful screensaver in your attachment |
| SUBJ_SM_WROTE | 4.0 | Subject someone wrote: |
| SUBJ_SOLEIT | 20.0 | Contains Subject Sonnenstudio.*Soleit/ |
| SUBJ_SPAM | 2.0 | Subject contains SPAM-Warning |
| SUBJ_SPARKASSE | 8.0 | Subject Sparkasse setzt neues Sicherheitssystem ein |
| SUBJ_SSEX | 3.0 | subject contains ssex |
| SUBJ_STOCK | 1.0 | subject contains stock |
| SUBJ_STOCK2 | 3.0 | various STOCK subjects |
| SUBJ_STOCK3 | 3.0 | various STOCK subjects |
| SUBJ_STOCK5 | 3.0 | Subject STOCK-SPAM |
| SUBJ_ST_OCK | 6.0 | Subject St ock |
| SUBJ_TERR_GRO | 5.0 | Subject terrific growth! |
| SUBJ_TITLE_PER | 4.0 | Subject is Title and Name |
| SUBJ_TTHEMEE | 5.0 | Subject tthemee |
| SUBJ_UBTA | 7.0 | Subject contains UBTA and the Wall Street Journal |
| SUBJ_VDIAGRA | 5.0 | Subject VdIAGRA |
| SUBJ_VERTRETER | 6.0 | Subject contains Suchen nach Regionalvertreter |
| SUBJ_VIEAGRA | 5.0 | Subject VIEAGRA |
| SUBJ_VKAGRA | 5.0 | Subject VkAGRA |
| SUBJ_VLAGHRA | 5.0 | Subject VlAGHRA |
| SUBJ_VLBAGRA | 5.0 | Subject VlbAGRA |
| SUBJ_VLRAGRA | 5.0 | Subject VlrAGRA |
| SUBJ_VMLAGRA | 7.0 | Subject VmlAGRA |
| SUBJ_VZIAGRA | 5.0 | Subject VzIAGRA |
| SUBJ_WIN1 | 1 | Subject contains winning or winner |
| SUBJ_WIN2 | 1 | Subject contains winning notification |
| SUBJ_WIN3 | 1 | Subject contains award |
| SUBJ_WINNER | 10.0 | Subject You are the winner |
| SUBJ_WIN_NOTIF | 2.0 | Subject contains winning notification |
| SUBJ_XX_HERE | 5.0 | Subject xx here |
| SUBJ_YOUR_DEBT | 0.577 | Betreff dreht sich um Rechnungen oder Kredite |
| SUBJ_YOUR_FAMILY | 0.338 | Betreff enthält "Your Family" |
| SUBJ_YOUR_OWN | 0.127 | Betreff enthält "Your Own" |
| SUBJ_ZUSAMMENT | 4.0 | Subject Dies Zusammen tun |
| SUB_AWARDN | 4.0 | Subject contains award notification |
| SUB_FREE_OFFER | 0 | Betreff beginnt mit "Free" |
| SUB_HELLO | 1.760 | Betreff beginnt mit "Hello" |
| SUSPICIOUS_RECIPS | 0.849 | Empfängeradressen sind sich ähnlich |
| TERRA_ES | 1.495 | Enthält Hyperlink mit "terra.es" |
| TEXTAREA_HIDD | 2.0 | Body contains style hidden textarea |
| TO_ADDRESS_EQ_REAL | 0 | Zieladresse wiederholt die Adresse als Empfängernamen |
| TO_CC_NONE | 0.134 | No To: or Cc: header |
| TO_EMPTY | 0 | Zieladresse ist vorhanden aber leer |
| TO_MALFORMED | 0 | Format der Zieladresse inkorrekt |
| TO_NO_USER | 0 | Adressteil vor dem @-Zeichen fehlt in Empfangsadresse |
| TO_RECIP_MARKER | 1.033 | Empfängerzeile enthält "recipient"-Markierung |
| TO_TXT | 1.360 | Gesendet an eine Textdatei |
| TRACKER_ID | 1.295 | Beinhaltet eine Identitätsnummer zur Nutzerbeobachtung |
| UNCLAIMED_MONEY | 1.920 | Geld oder Gewinne ohne Besitzer |
| UNCLOSED_BRACKET | 2.480 | Headers contain an unclosed bracket |
| UNDISC_RECIPS | 0.883 | "undisclosed-recipients" sieht korrekt aus |
| UNIQUE_WORDS | 1.336 | Nachrichtentext enthält viele Wörter nur einmal |
| UNPARSEABLE_RELAY | 0.001 | Informational: message has unparseable relay lines |
| UNRESOLVED_TEMPLATE | 0.687 | Kopfzeilen enthalten nicht ersetzte Variablen |
| UNWANTED_LANGUAGE_BODY | 2.800 | Nachrichtentext in unerwünschter Sprache |
| UPPERCASE_25_50 | 0 | Nachrichtentext besteht zu 25-50% aus Großbuchstaben |
| UPPERCASE_50_75 | 0.591 | Nachrichtentext besteht zu 50-75% aus Großbuchstaben |
| UPPERCASE_75_100 | 1.040 | Nachrichtentext besteht zu 75-100% aus Großbuchstaben |
| URG_BIZ | 0.269 | Dringende Geschäfte |
| URIBL_AB_SURBL | 4 | Enthält URL in AB-Liste (www.surbl.org) |
| URIBL_JP_SURBL | 3.360 | Enthält URL in JP-Liste (www.surbl.org) |
| URIBL_OB_SURBL | 4 | Enthält URL in OB-Liste (www.surbl.org) |
| URIBL_PH_SURBL | 3 | Enthält URL in PH-Liste (www.surbl.org) |
| URIBL_SBL | 0 | Enthält URL in SBL-Liste (http://www.spamhaus.org/sbl/) |
| URIBL_SBLXBL | 3.5 | Contains an URL listed in the SBL-XBL blocklist |
| URIBL_SC_SURBL | 6 | Enthält URL in SC-Liste (www.surbl.org) |
| URIBL_WS_SURBL | 3 | Enthält URL in WS-Liste (www.surbl.org) |
| URI_4YOU | 0.196 | Hyperlink enthält "4you" |
| URI_AFFILIATE | 0 | Enthält URL mit Werbepartnerkennzeichnung |
| URI_DIGITS | 0 | URI hostname has long digit sequence |
| URI_HEX | 0 | URI hostname has long hexadecimal sequence |
| URI_IS_POUND | 0 | Dateiname besteht nur aus "#"; vielleicht ein JavaScript-Trick |
| URI_NOVOWEL | 0.997 | URI hostname has long non-vowel sequence |
| URI_NO_WWW_ANY_CGI | 0.129 | CGI with long hostname other fourth-level "www" |
| URI_NO_WWW_BIZ_CGI | 2.480 | CGI in .biz TLD other than third-level "www" |
| URI_NO_WWW_INFO_CGI | 3.241 | CGI in .info TLD other than third-level "www" |
| URI_OFFERS | 0.133 | Hyperlink zu Firmenangebot |
| URI_REDIRECTOR | 0 | Nachricht enthält HTTP-URL mit Umleitung |
| URI_SCHEME_MIXED_CASE | 0.871 | URI scheme has mixed uppercase and lowercase |
| URI_UNSUBSCRIBE | 2.069 | URI contains suspicious unsubscribe link |
| URI_UPPER_LOWER | 2.080 | URI contains capitalized hostname parts ("Abcde") |
| URL_2PRIVATE | 7.0 | Contains URL only2private.net/ |
| URL_ADULTDREAMS | 6.0 | Contains URL with adultdreams.info/ |
| URL_ADVENT1 | 5.0 | Contains URL my-adventskalender.de/ |
| URL_ADVENT2 | 5.0 | Contains URL my-adventskalender.de/ |
| URL_AMERICACLICKHERE | 10.0 | Contains URL americaclickhere.info/ |
| URL_ARODSHOP | 10.0 | Contains URL arodshop.info/ |
| URL_ASSISI | 10.0 | Contains URL camminodiassisi.it/ |
| URL_BUYPENTAX | 10.0 | Contains URL buypentax.info/ |
| URL_CASINOTROPEZ | 5.0 | Contains URL casinotropez.com/ |
| URL_CA_BA_PHISH | 50.0 | Contains URL with ba-ca.onlinebanking.com.de/ |
| URL_DAEN_HH | 10.0 | Contains URL daenische-hobbyhuren.com/ |
| URL_DAYZERS | 3.0 | Contains URL dayzers.nl/ |
| URL_DILDO1 | 10.0 | Contains URL dildololita16.org/ |
| URL_DILDO2 | 10.0 | Contains URL dildoteenies.org/ |
| URL_EUTRAINING | 10.0 | Contains URL eutraining.be/ |
| URL_EVENGIO | 5.0 | Contains URL evengio4u.com/ |
| URL_E_T_I | 10.0 | Contains URL e-t-i.be/ |
| URL_FA_CN | 10.0 | Contains URL fardoheir.cn/ |
| URL_GENEKAM | 5.0 | Contains URL genekam.de/ |
| URL_GEOCITIES | 7.0 | Contains URL with geocities.com/ |
| URL_GOHOMEVIDEO | 10.0 | Contains URL gohomevideo.info/ |
| URL_GOLYR | 7.0 | Contains URL with golyr.de/ |
| URL_GREAT_ROD1 | 10.0 | Contains URL greatrodstewart.info/ |
| URL_GREAT_ROD2 | 10.0 | Contains URL rodstewartdirect.info/ |
| URL_GREAT_ROD3 | 10.0 | Contains URL exaltedrodshop.info/ |
| URL_HEISSE_EX | 6.0 | Contains URL meine-heisse-ex.com/ |
| URL_IMAGESHACK | 4.0 | Contains URL imageshack.us/ |
| URL_INFOMANIAC | 7.0 | contains URL with infomaniac.cc/ |
| URL_INTERNG | 10.0 | Contains URL www.interng.com/ |
| URL_INZ_ALARM | 10.0 | Contains URL inzestalarm.com/ |
| URL_ISVTIROL | 7.0 | Contains URL isvtirol.at/ |
| URL_JENNY | 10.0 | Contains URL jennywillanalsex/ |
| URL_JOB2 | 10.0 | Contains URL kukarachax.com/ |
| URL_JOB_AGEN | 6.0 | Contains URL job-agency.biz/ |
| URL_LOLITA1 | 10.0 | Contains URL gefesselte-lolitas.org/ |
| URL_MAEDELS | 10.0 | Contains URL erniedrigte-maedels.org/ |
| URL_MAU_GEW | 10.0 | Contains URL www.mauritius-gewinnspiel.com/ |
| URL_MEDIAWORLD | 7.0 | Contains URL mediaworld.cc/ |
| URL_MEETSWEET | 10.0 | Contains URL meet-some-sweet.com/ |
| URL_MORTGAGEXTREME | 10.0 | Contains URL mortgagextreme.info/ |
| URL_MYHOMEBBS | 10.0 | Contains URL myhomebbs.info/ |
| URL_MYSITECONTENT | 10.0 | Contains URL mysitecontent.info/ |
| URL_NEXTLEVEL | 5.0 | Contains URL nextlevel-europe.com/ |
| URL_OBFU_DOT | 1 | replaces dot by mime encoding of dot in URIs |
| URL_OUTERFEANS | 4.0 | contains URL with outerfeans.com/ |
| URL_PASAWIM | 10.0 | Contains URL pasawim.com/ |
| URL_PH_BAWAG | 50 | Bawag Phising |
| URL_PINKFLICKS | 5.0 | Contains URL with pinkflicks |
| URL_POLITICAMENTECORRETTO | 4.0 | Contains URL politicamentecorretto/ |
| URL_RAIKA_PHISH0 | 50.0 | Contains URL with banking-raiffeisen.com/ |
| URL_RAIKA_PHISH1 | 50.0 | Contains URL with raiffeisen-bank.net/ |
| URL_RAIKA_PHISH5 | 50.0 | Contains URL with raika-at.net |
| URL_RBN_GROUP | 10.0 | Contains URL rbn-group.com/ |
| URL_SCHMERZ | 10.0 | Contains URL sie-weint-vor-schmerz/ |
| URL_SH_CN | 10.0 | Contains URL shaesnowwai.cn/ |
| URL_STAR_DOT1 | 5 | chars to replace in URIs |
| URL_STAR_DOT2 | 5 | chars to replace in URIs |
| URL_THEROBMAN | 10.0 | Contains URL therobman.info/ |
| URL_THEWORLDMOSQUE | 10.0 | Contains URL theworldmosque.info/ |
| URL_TK_COM | 30.0 | Contains URL www.tk-com.com/ |
| URL_UK_GEOCITIES | 7.0 | Contains URL with uk.geocities.com/ |
| URL_VERGE1 | 10.0 | Contains URL vergewaltigt.org/ |
| URL_WEBERDIT | 10.0 | Contains URL martinsweberdito/ |
| URL_YAHOO_GEOCITIES | 7.0 | Contains URL with geocities.yahoo.com/ |
| URL_ZUSCHL | 10.0 | Contains URL 123zuschlag.at/ |
| USERPASS | 0.819 | Hyperlink enthält Benutzername und (eventuell) ein Kennwort |
| USER_IN_ALL_SPAM_TO | -100.000 | Empfängeradresse soll alle (Spam-) Nachrichten erhalten |
| USER_IN_BLACKLIST | 100.000 | Absenderadresse steht in Ihrer persönlichen schwarzen Liste |
| USER_IN_BLACKLIST_TO | 10.000 | Empfängeradresse steht in Ihrer persönlichen schwarzen Liste |
| USER_IN_DEF_DKIM_WL | -7.500 | From: address is in the default DKIM white-list |
| USER_IN_DEF_DK_WL | -7.500 | From: address is in the default DK white-list |
| USER_IN_DEF_SPF_WL | -7.500 | From: address is in the default SPF white-list |
| USER_IN_DEF_WHITELIST | -15.000 | Absenderadresse steht in der allgemeinen weißen Liste |
| USER_IN_DKIM_WHITELIST | -100.000 | From: address is in the user's DKIM whitelist |
| USER_IN_DK_WHITELIST | -100.000 | From: address is in the user's DK whitelist |
| USER_IN_MORE_SPAM_TO | -20.000 | Empfängeradresse soll fast alle (Spam-) Nachrichten erhalten |
| USER_IN_SPF_WHITELIST | -100.000 | From: address is in the user's SPF whitelist |
| USER_IN_WHITELIST | -20.000 | Absenderadresse steht in Ihrer persönlichen weißen Liste |
| USER_IN_WHITELIST_TO | -6.000 | Empfängeradresse steht in Ihrer persönlichen weißen Liste |
| US_DOLLARS_3 | 1.0 | Erwähnt Millonen von Dollar |
| VCALENDAR | -3.0 | Seems to be a calendar message |
| VIA_GAP_GRA | 2.419 | Versucht das Wort 'viagra' zu tarnen |
| WEBSHIELD1 | 99 | unwanted Sendernotification from NAI Webshield |
| WEBSHIELD2 | 99 | unwanted Sendernotification from NAI Webshield |
| WEIRD_PORT | 0 | Ungewöhnliche Portnummer in HTTP-Hyperlink |
| WEIRD_QUOTING | 1.200 | Seltsame Häufung von Anführungszeichen im Nachrichtentext |
| WE_HONOR_ALL | 1.196 | Behauptet, Aufforderungen zur Entfernung von der Liste zu folgen |
| WHILE_YOU_SLEEP | 0.441 | Während Sie schlafen... |
| WHY_PAY_MORE | 0.120 | Warum mehr bezahlen als nötig? |
| WHY_WAIT | 0.412 | Worauf warten Sie noch? |
| WIN_NOTIF | 2.0 | body contains winning notification |
| WITH_LC_SMTP | 1.440 | Kopfzeilen mit "smtp" in Kleinschreibung |
| WRINKLES | 1.360 | Mittel gegen Falten |
| X_AUTH_WARN_FAKED | 0 | Kopfzeile "X-Authentication-Warning" sieht gefälscht aus |
| X_IP | 1.848 | Message has X-IP header |
| X_LIBRARY | 1.920 | Enthält Kopfzeile "X-Library" |
| X_MAILER_SPAM | 0.720 | X-Mailer: header is bulk email fingerprint |
| X_MESSAGE_FLAG_ODD | 2.080 | Message has X-Message-flag header (odd case) |
| X_MESSAGE_INFO | 3.520 | Kopfzeile "X-Message-Info" |
| X_MIME_AUTOCONVERTED | 2.080 | Message has X-MIME-Autoconverted "Yes" header |
| X_MSMAIL_PRIORITY_HIGH | 0 | Kopfzeile "X-MSMail-Priority" hat einen zu hohen Wert |
| X_ORIG_IP_NOT_IPV4 | 0 | Kopfzeile "X-Originating-IP" scheint keine IPv4-Adresse zu enthalten |
| X_PRIORITY_CC | 2.320 | Cc: after X-Priority: (bulk email fingerprint) |
| X_PRIORITY_HIGH | 0.122 | Kopfzeile "X-Priority" hat einen zu hohen Wert |
| YAHOO_DRS_REDIR | 0.313 | URL mit Umleitung über Yahoo |
| YAHOO_RD_REDIR | 0 | URL mit Umleitung über Yahoo |
| YOU_CAN_SEARCH | 0 | Sie können sich nach jedermann erkundigen |
sarules.html - sarules.html