Report your webmail usage

[Eric Krona]

We have a few users who get a lot of emails asking them to report their 
webmail usage, often linking to a google spreadsheet. They slip passed 
spamassassing, likely because they are translated to swedish, but the 
mail is clearly spam.

Is anyone else seeing this and is there some custom rule that is 
effective against it?

Thanks in advance for any hints!

/eric

Cutout of the actual mailheaders
X-OriginalArrivalTime: 30 Nov 2012 09:11:03.0911 (UTC) 
FILETIME=[9F946F70:01CDCEDA]
X-Spam-score: 1.2
X-Spam-score_int: 12
X-Spam-bar: +
X-Spam-report: Spam detection software, running on the system 
"mail1.itomat.se", has
 identified this incoming email as possible spam.  The original message
 has been attached to this so you can view it (if it isn't spam) or label
 similar future email.  If you have any questions, see
 e...@itomat.se for details.

 Content preview:  Du har överskridit gränsen för din postlåda som 
fastställts
    av vår IT-service, och från och med nu kan du inte ta emot alla 
inkommande
    e-postmeddelanden och även några av dina utgående e-postmeddelanden 
inte
   kommer att levereras och slutligen kommer ditt konto vara 
"deaktiverad" inom
    24 timmar från och med nu. För att förhindra detta, bör du klicka 
på länken
    nedan för att återställa ditt konto. 
https://docs.google.com/spreadsheet/viewform?formkey=dDZaYjFYM1dlWUFKakVUX0FHY2ZTaWc6MQ

<https://docs.google.com/spreadsheet/viewform?formkey=dDZaYjFYM1dlWUFKakVUX0FHY2ZTaWc6MQ>
    Underlåtenhet att göra detta, kommer att leda till begränsad 
tillgång till
    din brevlåda när kontot förblir IN-AKTIV inom de närmaste 24 
timmarna. Tack
    för att vi ge dig bättre! Hälsningar, Management. Uppgradera 
institutionen.
    [...]

 Content analysis details:   (1.2 points, 5.0 required)

  pts rule name              description
 ---- ---------------------- 
--------------------------------------------------
 -0.4 RP_MATCHES_RCVD        Envelope sender domain matches handover 
relay domain
  1.0 MISSING_HEADERS        Missing To: header
  0.0 HTML_MESSAGE           BODY: HTML included in message
 -0.5 BAYES_05               BODY: Bayes spam probability is 1 to 5%
                             [score: 0.0158]
  0.0 MIME_QP_LONG_LINE      RAW: Quoted-printable line longer than 76 
chars
  1.0 URI_GOOGLE_DOCS        URI for Google Docs, common in phishing

 scores: 
BAYES_05=-0.5,HTML_MESSAGE=0.001,MIME_QP_LONG_LINE=0.001,MISSING_HEADERS=1.021,RP_MATCHES_RCVD=-0.368,URI_GOOGLE_DOCS=0.999 
| autolearn=no, score=1.84

This is a multi-part message in MIME format.