Nie jest to może silna reguła ale często spamerzy używaja generowanych adresów(newslettery niestety też). Chodzi o to, że w loginie jest ciąg liter poźniej cyfr znowu liter i cyfr. Oto reguła i to dość nisko punktowana
header ZABOJCASPAMU_RETURN_PATH_MISC_CHAR Return-Path=~/[a-zA-Z]+\d+[a-zA-Z]+\d+\@/ describe ZABOJCASPAMU_RETURN_PATH_MISC_CHAR return-path misc char score ZABOJCASPAMU_RETURN_PATH_MISC_CHAR 0.2