Biểu thức chính quy có thể là một cái gì đó như:
/name=[^>]*\.(bat|cmd|exe|com|pif|reg|scr|vb|vbe|vbs)/
để khớp với tệp đính kèm có tên tệp kết thúc bằng phần mở rộng biểu thị khả năng thực thi Windows nguy hiểm.
Hành động có thể như sau:
REJECT
để từ chối thư phù hợp với biểu thức hoặc:
REDIRECT spam@yourdomain.com
Để chuyển tiếp thư đến địa chỉ khác.