Добрый день. Помогите разобраться со СПАМ-ерским письмом которое, как по мне, имеет интересное содержание.

Суть:
- есть большая корпоративная сеть с таким почтовым сервером Postfix+Amavisd-new+Spamassassin+CommuniGate.
- Пользователю «А» пришло спамерское письмо которое было адресовано пользователю «В»
- Пользователь  «В» понятное дело это письмо не отсылал, и это видно из заголовка письма так как первый   Received это какой-то интернет сервер.
- Интересно то что и отправитель письма и получатель письма пользователь «B»
- А самое интересное что в X-Spam-Status пишется что срабатывает правило USER_IN_WHITELIST_TO. Но вот в конфиге Spamassassin пользователь «В» не прописан в белом списке.

Само письмо и конфиги выложены ниже. Название своего сервера и пользователей я заменил на myserver и «А», «В», «С».

Не могу понять почему на письмо сработало правило USER_IN_WHITELIST_TO и почему оно пришло пользователю «А» которого вообще нет в заголовке.

ЗАГОЛОВОК ПИСЬМА:

Return-Path: <mootermk@sendsmtp.com>

Received: from [123.44.55.66] (HELO relay.myserver.com)
  by myserver.com (CommuniGate Pro SMTP 4.2.10)
  with ESMTP id 10124872; Tue, 02 Feb 2010 23:14:28 +0200

Received: from localhost (localhost [127.0.0.1])
    by relay.myserver.com (Postfix) with ESMTP id BF989E0051;
    Tue,  2 Feb 2010 23:14:28 +0200 (EET)

Received: from relay.myserver.com ([127.0.0.1])
by localhost (relay [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
id 30727-12; Tue,  2 Feb 2010 23:14:26 +0200 (EET)

Received: from host-81-190-2-17.gdynia.mm.pl (host-81-190-2-17.gdynia.mm.pl [81.190.2.17])
    by relay.myserver.com (Postfix) with ESMTP id 266F7E004F;
    Tue,  2 Feb 2010 23:14:25 +0200 (EET)

Received: from 81.190.2.17 by vanitysmtp.changeip.com; Tue, 2 Feb 2010 22:13:48 +0100

Message-ID: <000d01caa44c$9c930130$6400a8c0@mootermk>

From: B@myserver.com
To: <B@myserver.com>

Subject: I'll like you? Remember that night in the hotel?
Date: Tue, 2 Feb 2010 22:13:48 +0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_0007_01CAA44C.9C930130"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.3790.1830
X-MimeOLE: Produced By Microsoft MimeOLE 6.00.3790.1830
X-Virus-Scanned: by amavisd-new at relay.myserver.com
X-Spam-Status: No, hits=-45.606 tagged_above=-100 required=9.5 tests=BAYES_99,
DCC_CHECK, DIGEST_MULTIPLE, HELO_DYNAMIC_IPADDR, HTML_80_90, HTML_MESSAGE,
INFO_TLD, NO_REAL_NAME, RAZOR2_CF_RANGE_E8_51_100, RAZOR2_CHECK,
RCVD_IN_BL_SPAMCOP_NET, RCVD_IN_SORBS_DUL, RCVD_IN_SORBS_WEB, RCVD_IN_XBL,
UNPARSEABLE_RELAY, URIBL_AB_SURBL, URIBL_JP_SURBL, USER_IN_WHITELIST_TO
X-Spam-Level:

Основные моменты amavisd.conf:

$sa_local_tests_only = 0;   # (default: false)
$sa_mail_body_size_limit = 1024*1024;  
$sa_tag_level_deflt  = -100.0;
$sa_tag2_level_deflt = 9.5;
$sa_kill_level_deflt = 9.5;
$sa_spam_subject_tag = '***** SPAM ***** ';    
$sa_spam_modifies_subj = 1;
$sa_debug = 1;

Основные моменты Local.cf:

use_razor2 1
use_bayes 1
bayes_auto_learn 0
bayes_path /var/spool/amavis/.spamassassin/bayes
bayes_auto_learn_threshold_nonspam 0
bayes_auto_learn_threshold_spam 20.0
use_pyzor 0
ok_locales              all
razor_config            /var/spool/amavis/.razor/razor-agent.conf

whitelist_to            C@myserver.com
whitelist_to            D@myserver.com
whitelist_to            F@myserver.com

score USER_IN_WHITELIST_TO      -100.000