O procedimento adotado é meio ingênuo, deixa de considerar várias mensagens, não considera vários tipos de dados hostis, mas produz um cenário representativo do problema.
/http:.*[.](exe|scr|zip)/
Foram aproximadamente dois meses de coleta, só com mensagens que eu recebi e que foram reconhecidas como SPAM/scam.