Rzecz stara jak internet a pewnie jeszcze starsza. Każdy wie o co chodzi a jak nie wie zawsze może poczytać. Od czasu do czasu przychodzą maile pisane łamaną polszczyzną. Co tu się rozwodzić tu trzeba ubijać. Oto dwie reguły. Pierwsza jest ze zbioru reguł FSL. Zgodnie z nazewnictwem finalne reguły zmieniam na mój prefix
header __FSL_IPV4_41 ALL =~ /(?:\(|\s+)?\[?41\.(?:[0-9]{1,3}\.){2}[0-9]{1,3}\]?/
body __FSL_URGENT_ASSIST /your urgent assist/i
body __FSL_MAIL_HAS /your mail has/i
header __FSL_SUBJECT_EMAIL Subject =~ /\b[^\@ ]+\@[^\@ ]+\b/
body __FSL_ATM_CARD /\bATM [Cc][Aa][Rr][Dd]\b/
meta ZABOJCASPAMU_FSL_FRAUD_FROM_41 (__FSL_IPV4_41 && (LOTS_OF_MONEY || FSL_MY_NAME_IS || FSL_I_AM || __FSL_URGENT_ASSIST || __FSL_MAIL_HAS || __FSL_SUBJECT_EMAIL || __FSL_ATM_CARD))
describe ZABOJCASPAMU FSL_FRAUD_FROM_41 Nigeryjski szwindel
score ZABOJCASPAMU FSL_FRAUD_FROM_41 1.0
Druga reguła jest spolonizowaną powyższej(wykorzystuje sprawdzanie IP)
header __EXPERIMENTAL_SZWINDEL_41_1 ALL =~ /(?:\(|\s+)?\[?41\.(?:[0-9]{1,3}\.){2}[0-9]{1,3}\]?/
body __EXPERIMENTAL_SZWINDEL_41_2 /(charytatywne|sierociniec|USD)/
meta EXPERIMENTAL_SZWINDEL_41 __EXPERIMENTAL_SZWINDEL_41_1 && __EXPERIMENTAL_SZWINDEL_41_2
describe EXPERIMENTAL_SZWINDEL_41 Nigeryjski szwindel
score EXPERIMENTAL_SZWINDEL_41 10