A classificação de spam explode se uma determinada URL for mencionada no corpo do email - por quê?

Se algum email contiver o URL lafargeholcim-foundation.org ou se um email for enviado usando um endereço de email desse domínio , alguns provedores classificam esses emails como Spam, outros não de todo. É suficiente se a URL aparecer no corpo como texto simples ou html, mesmo se outros endereços de email totalmente independentes forem usados. Por algum motivo, tornou-se uma palavra spam em uma ou mais listas importantes.

O que tentamos:

• Verificamos se esse domínio foi colocado em uma lista negra em algum lugar - não (testado em vários sites - há alguns falsos positivos nas listas, mas os próprios sites da lista negra disseram que o domínio está limpo)
• Verificamos as configurações de DNS corretas (SPF, MX, PTR e assim por diante) - parece bom
• Verificamos a integridade do domínio usando mxtoolbox.com - o único erro mostrado é dmarc - Registro ausente ou inválido ; no entanto, esse erro é mostrado para muitos outros domínios para os quais não há problema (também, isso não explicaria a classificação se ela fosse mencionada)
• Nós usamos link que resulta em SpamAssassin 3.4.1 (2015-04-28) - Resultado: ham ( não-spam) (02.8 pontos, 10.0 obrigatório) mas nos detalhes mostra X-Spam-Status: Sim, ocorrências = 2.8 necessárias = -20.0 testes = BAYES_99, BAYES_999, HTML_MESSAGE, RCVD_IN_DNSWL_LOW, RCVD_IN_MSPIKE_H3, RCVD_IN_MSPIKE_WL, SPF_HELO_PASS, SPF_PASS, URIBL_BLOCKED autolearn = não autolearn_force = não versão = 3.4.1 ; contraditório, mas a mensagem importante é que de alguma forma os cheques BAYES falham

Esta é a parte de verificação de spam do cabeçalho de um email enviado de [email protected] para um endereço de email em domainfactory que não filtra e-mails:

X-Spam-Checker-Version: SpamAssassin 3.3.1 (2010-03-16) on
spamfilter20.ispgateway.de
X-Spam-Level: **********
X-Spam-Status: No, hits=10.0 required=9999.0 tests=BAYES_50,CMAE_1 autolearn=disabled version=3.3.1
X-Spam-CMAETAG: v=2.1 cv=EeZGQZWC c=1 sm=0 tr=0 p=cbSXLfNRAAAA:8
a=pGLkceISAAAA:8 a=2MiuTIsZAAAA:8 a=1XWaLZrsAAAA:8 a=7aQ_Q-yQQ-AA:10
a=83US_ujnACjsZj5jA7sA:9 a=QEXdDO2ut3YA:10 a=UED6auwn5vwA:10
a=7xph8sLR3VcA:10 a=Ky3Y0quMuIMiIHF6c5kA:9 a=jJvKbzjZ-ey99uua:21
xcat=Undefined/Undefined
X-Spam-CMAECATEGORY: 0
X-Spam-CMAESUBCATEGORY: 0
X-Spam-CMAESCORE: 100

Embora neste exemplo ele diga "X-Spam-Status: No", o nível é muito alto para permitir que ele passe.

Novamente: podemos entender que alguns remetentes estão na lista negra. Mas apenas mencionar o URL em texto simples ou html aumenta tanto a classificação de spam que esses emails, não importando de onde eles vêm, são filtrados (dependendo, é claro, do tipo de verificação do email provedor, se usar SpamAssassin ou não).

O cabeçalho acima é de domainfactory, um provedor alemão geralmente bastante confiável. Falhas de entrega semelhantes foram relatadas em greenmail.ch, hispeed.ch e outros. Ao contrário do Gmail, que não exibe classificação de spam.

A empresa é uma fundação sem fins lucrativos perfeitamente legítima. Eles enviaram um boletim informativo para cerca de 25.000 destinatários (voluntários, sem spamming) em dezembro usando o Amazon SES. A configuração de DNS está no Amazon Route 53 e as contas do Google Business lidam com as caixas de correio.

Nos últimos 8 anos, muitos boletins foram enviados sem problemas. O provedor SMTP em massa foi alterado de Critsend para Amazon SES recentemente.

Além disso, eles alteraram seu domínio recentemente e adicionaram envelopes a e-mails enviados que mudaram o domínio antigo para o novo - o que poderia ter despertado suspeitas?

Nós pesquisamos o dia todo e ainda não temos ideia de como descobrir por que e onde isso aconteceu e como lidar com esse problema. Quem adiciona uma palavra spam ao (talvez) SpamAssassin, por que e como podemos nos livrar dela?