Спам-фильтр SpamAssassin

SpamAssassin — один из самых популярных антиспам-фильтров, который используют корпоративные почтовые серверы, хостинги и ESP. Фильтр не просто решает, спам это письмо или нет — он оценивает совокупный риск. Каждое сообщение анализируется по набору правил, и по результатам проверки ему присваивается числовой спам-балл, отражающий вероятность того, что письмо будет воспринято как нежелательное.

У SpamAssassin нет фиксированной шкалы: вес правил и пороговые значения могут меняться с каждой версией, а администраторы почтовых серверов нередко настраивают их под собственные требования. Тем не менее, в большинстве конфигураций письма с итоговым баллом 5.0 и выше считаются спамом.
При интерпретации результатов важно учитывать общий принцип:

• Отрицательные значения — хороший знак, они снижают общий балл и указывают на доверие к письму.
• «0»  — нейтральный показатель, не влияющий на итоговую оценку.
• Положительные значения — сигнал возможного спама, увеличивают риск попадания письма в «Спам».

Чем выше итоговый спам-балл, тем больше вероятность, что письмо будет отклонено фильтром. Но даже низкая оценка не гарантирует доставку во «Входящие» — результат зависит от конкретных настроек фильтра и дополнительных факторов, которые использует почтовый сервер. В целом действует простое правило: чем ниже спам-балл, тем выше шансы на успешную доставку.

Чтобы письма стабильно доходили до получателей, полезно знать, какие правила SpamAssassin встречаются при проверке писем и как они могут повлиять на доставляемость. Ниже — обзор ключевых тестов и рекомендации, как избежать лишних спам-баллов.

Баллы: +0.1
Правило: Message has a DKIM or DK signature, not necessarily valid

SpamAssassin обнаружил в письме заголовок DKIM-Signature — то есть письмо подписано через DKIM, но сама подпись ещё не проверялась. Фильтр просто фиксирует наличие подписи, не оценивая её корректность.

Наличие DKIM-подписи — нейтрально-положительный сигнал. Письмо получает небольшой технический балл (+0.1), который фиксирует сам факт подписи. На доставляемость это почти не влияет, более значимо, если DKIM-подпись проходит все последующие этапы проверки и подтверждает авторство домена.

Баллы: -0.1
Правило: Message has at least one valid DKIM signature

SpamAssassin определяет домен, от имени которого создана DKIM-подпись, и запрашивает соответствующий публичный ключ из DNS, чтобы сверить его с подписью в письме. Если криптографическая проверка проходит успешно и подпись совпадает с публичным ключом, фильтр отмечает успешное прохождение проверки DKIM_VALID.

Хотя тест имеет значение -0.1, реальный эффект положительный: валидный DKIM напрямую влияет на доставляемость и оценивается почтовыми сервисами как сильный сигнал подлинности.

Баллы: −0.2
Правило: Valid DKIM signature from author’s domain

Фильтр подтверждает, что DKIM-подпись валидна и создана тем же доменом, который указан в поле From. Это означает совпадение доменов (DKIM alignment) и соответствует требованиям DMARC.

Успешное прохождение этой проверки снижает общий спам-балл (−0.2) и повышает доверие к письму. Совпадение доменов при валидной подписи считается одним из самых значимых признаков подлинности: с 2024 года Gmail и Yahoo требуют DKIM-alignment для всех массовых отправителей.

Баллы: +1.0 – +2.0
Правило: From: base64 encoded unnecessarily

Фильтр обнаруживает в поле имени отправителя избыточное кодирование символов в формате Base64 — например, когда адрес содержит конструкции вида =?UTF-8?B?...?= без необходимости. Согласно стандарту RFC 2047, использовать encoded-words для чистого ASCII запрещено.

Избыточное кодирование считается подозрительным приёмом и может повысить общий спам-балл. Само по себе правило даёт небольшой «положительный» вес, но в сочетании с другими признаками может усилить негативную оценку.

Баллы: +1
Правило: From and EnvelopeFrom 2nd level domains are different

Домен, указанный в поле From (например, promo@example.com), отличается от домена в Return-Path (например, bounce@esp-mail.net). Такое расхождение часто встречается при использовании ESP, когда сервис отправляет письма от имени клиента, но технически от собственного домена. Для SpamAssassin это сигнал отсутствия полного совпадения доменов (alignment), что может повлиять на оценку аутентификации.

Несовпадение доменов увеличивает общий спам-балл и может вызвать проблемы с прохождением SPF- или DMARC-проверок.

Баллы: +0.1
Правило: HTML included in message

Фильтр обнаруживает, что письмо содержит HTML-часть — например, имеет MIME-тип text/html или multipart/alternative. Это не ошибка и не признак спама, а лишь техническое указание на формат сообщения.

Минимальное. HTML-формат — стандарт для большинства маркетинговых и транзакционных писем. Сам по себе он не снижает доставляемость, если письмо корректно оформлено, содержит альтернативную text/plain-версию и не выглядит подозрительно (например, полностью из изображений или с избыточным стилевым кодом).

Баллы: +0.7
Правило: Multiple indicators imply a widely-seen list manager

Фильтр обнаруживает признаки массовой рассылки — например, наличие заголовков List-Id, List-Unsubscribe и других служебных полей, характерных для ESP. Совокупность таких сигналов активирует тест MAILING_LIST_MULTI.

Положительный балл указывает, что письмо рассылается массово. Это не означает, что оно спам, но сигнализирует фильтру, что сообщение должно быть проверено тщательнее. На доставляемость это влияет минимально, если рассылка ведется по подтвержденным адресам и с корректной аутентификацией.

Баллы: +0.7– +1.0
Правило: HTML and text parts are different

Фильтр сравнивает HTML-и текстовую версии письма. Если между ними есть заметные различия по содержанию, структуре или объёму, срабатывает тест MPART_ALT_DIFF. Такое несоответствие нарушает принципы формата multipart/alternative, где обе версии должны передавать одинаковый смысл. 

Существенное различие между HTML- и текстовой частью повышает общий спам-балл. Это может выглядеть как попытка скрыть контент от фильтров.

Баллы: -2
Правило: Sender is in Return Path Safe (trusted relay)

Фильтр проверяет IP-адрес сервера, с которого пришло письмо, по базе сертифицированных отправителей Validity (Return Path). Если адрес найден в списке доверенных, срабатывает правило RCVD_IN_RP_SAFE. Это означает, что отправитель прошёл внешнюю проверку на репутацию и техническое соответствие требованиям крупных почтовых провайдеров.

Срабатывание этого правила снижает общий спам-балл (−2) и показывает, что письмо отправлено через надёжный, сертифицированный источник.

Баллы: +0.0 (около +0.1)
Правило: SPF: HELO does not publish an SPF Record

Когда сервер отправляет письмо, он представляется командой HELO (например, mail.example.com). SpamAssassin проверяет, есть ли у этого домена собственная SPF-запись в DNS. Если запись отсутствует, фильтр фиксирует правило SPF_HELO_NONE — «указанный HELO-домен не публикует SPF». Это не ошибка, но сигнал, что инфраструктура настроена не полностью.

Вес почти нулевой, но отсутствие SPF для HELO-домена указывает на неполную или устаревшую настройку инфраструктуры. Корректная SPF-запись повышает прозрачность и доверие со стороны почтовых фильтров.

Баллы: (−0.1)
Правило: SPF: sender matches SPF record

Фильтр выполняет SPF-проверку, сопоставляя IP-адрес сервера-отправителя с политикой SPF домена, указанного в адресе MAIL FROM. Если адрес разрешён SPF-записью, результат — Pass, срабатывает правило SPF_PASS. Это подтверждает, что письмо пришло с авторизованного сервера.

Балл минимальный, но значение правила — ключевое: успешная SPF-проверка повышает доверие к инфраструктуре отправителя и является обязательной частью аутентификации вместе с DKIM и DMARC.

SpamAssassin — не враг, а инструмент, который помогает фильтрам оценивать качество инфраструктуры, аутентификации, структуры письма и поведения отправителя.

Из всех правил видно:

• аутентификация (DKIM, SPF, DMARC) — фундамент хорошей доставляемости;
• align (выравнивание) доменов (From, DKIM, Return-Path) — критически важен фактор для современных почтовых сервисов;
• массовость писем не является проблемой сама по себе, но повышает требования к качеству;
• структура письма и корректная текстовая версия имеют значение;
• репутация домена и IP остаётся ключевым фактором.

Если инфраструктура настроена правильно, база чистая, содержание полезное — даже с набором таких фильтров письмо будет стабильно попадать во «Входящие».