Прошу помощи у сообщества по созданию такого правила.
Половину задачи решили в виде сигнатурного анализа вложения через скрипт:
$pktag=ascii('Rar');
$pktbytes=getBinaryValueAt($data, 0x0, 3);
assertTrue($pktag == $pktbytes);
$fileheader=getHexStringValue('74');
$filebyte=getBinaryValueAt($data, 0x16, 1);
assertTrue( $fileheader == $filebyte );
$passwd=getHexStringValue('94');
$passwdbyte=getBinaryValueAt($data, 0x18, 1);
assertTrue( $passwd == $passwdbyte );
Вложения проверяются, письма с архивом rar (например, dogovor.rar) помечаются соответствующим правилом.
Но если архив сделан с именем на кириллице (например, договор.rar) - правило не матчит такое письмо.