Serwis Gumtree prowadzi dział ogłoszeń o pracę. I to samo nie jest w złe:) Gorzej, ze odpowiedzi użytkowników przychodzą w dość dziwnej postaci. Mail ma następująćą postać
Pole From jest adresem osoby odpowiadającej na ogłoszenie a wysyłane przez serwery Gumtree. Skutkuje to tym, że SPF nie jest prawidłowy, DKIM nie występuje chociaż powinien(np jeśli ktoś ma adres z gmail, wp.pl itd). Tutaj o SPFie i A tutaj o SPF i DKIM. faktem , ze Gumtree spoofinguje maile z domen. Dziwna to praktyka zaiste.
Oprócz tego pole Message-ID kończy się na @localhost co samo w sobie jest tez błędem.
Należy stworzyć regułę która weźmie pod uwagę, że znany serwis dziwnie produkuje maile
header ZABOJCASPAMU_GUMTREE Subject=~/Poniżej znajduje się odpowiedź na Twoje ogłoszenie Gumtree/ describe ZABOJCASPAMU_GUMTREE Informacja ze ogloszenie z gumtree score ZABOJCASPAMU_GUMTREE -10