Spamassassin Anti-Bilderspam-Rule

header     __CTYPE_MULTIPART_MXD Content-Type =~ /multipart\/mixed/i
mimeheader __ANY_TEXT_ATTACH     Content-Type =~ /text\/\w+/i
meta     MIME_IMAGE_ONLY (__CTYPE_MULTIPART_MXD && __ANY_IMAGE_ATTACH && !__ANY_TEXT_ATTACH)
score    MIME_IMAGE_ONLY 2.00
describe MIME_IMAGE_ONLY Image body part but no text body parts

Diese Rule scheint mir ein bisschen allgemein gehalten, ein Mail, das nur aus irgendwelchen Bildern besteht, ist schließlich nicht automatisch böse.
Das lässt sich also noch verfeinern, nennen wir die neue Rule mal pngOnly.cf:

header     __CTYPE_MULTIPART_MXD Content-Type =~ /multipart\/mixed/i
mimeheader __ANY_TEXT_ATTACH     Content-Type =~ /text\/\w+/i
mimeheader __DISPO_INLINE        Content-Disposition =~ /inline/i
meta     MIME_PNG_ONLY (__CTYPE_MULTIPART_MXD && __PNG_ATTACH_1 && __DISPO_INLINE && !__ANY_TEXT_ATTACH)
score    MIME_PNG_ONLY 2.00
describe MIME_PNG_ONLY Image body part (png, inline) but no text body parts

Diese Regel besagt, dass zwei Punkte vergeben werden, wenn ein Mail keinen Text enthält und nur aus einem einzigen PNG besteht und zwar inline.
Das trifft auf die momentan kursierenden Spammails mit Bilderspam fast immer zu. Da die Regel etwas spezieller ist, sinkt die Gefahr eines false positives.
Eigene Spamassassin Regeln, die global gelten sollen, werden übrigens mit der Endung .cf in /etc/mail/spamassassin/ abgelegt.

Falls die Spammer auf das "Content-Disposition: inline;" verzichten, geht auch:

header     __CTYPE_MULTIPART_MXD Content-Type =~ /multipart\/mixed/i
mimeheader __ANY_TEXT_ATTACH     Content-Type =~ /text\/\w+/i
meta     MIME_PNG_ONLY (__CTYPE_MULTIPART_MXD && __PNG_ATTACH_1 && !__ANY_TEXT_ATTACH)
score    MIME_PNG_ONLY 2.00
describe MIME_PNG_ONLY Image body part (1 png) but no text body parts

Diese Regel vergibt zwei Punkte für Mails, die aus genau einem PNG (ohne jeglichen Text) bestehen, egal ob das Bild inline ist, oder nicht.