In case anyone was interested, I found the solution:<div><br></div><div><span style="color:rgb(68,68,68);font-family:Arial,'Liberation Sans','DejaVu Sans',sans-serif;font-size:13px;line-height:17px;background-color:rgb(250,250,250)">The "blocked anywhere" directive included this line: qr'^\.(exe|lha|cab|tnef|dll)$'. I reexamined the logs, bounce messages, and the info I pasted into this question, and saw a consistent theme: they all contained something with a .tnef extension. I researched it, and it turns out its coming from Microsoft Outlook, and was considered a potential security vulnerability. I'm researching now how "unsafe" it would be for me to turn it off, but in the mean time, I have done so.</span> <br>
<br>- Me, about a week ago (on <a href="http://serverfault.com/questions/426885/amavisd-postfix-dovecot-blocks-gif-images">http://serverfault.com/questions/426885/amavisd-postfix-dovecot-blocks-gif-images</a> )<br><br>Thus far, my (limited) research indicates that this was a security vulnerability in older versions of Outlook, but that Microsoft released a patch and fixed this a long time ago. I suppose it makes sense to still block them by default.... but for now, I'm not blocking tnef files unless I read a really good reason not to in the future.</div>
<div><br></div><div>Ok, I need to get back to getting ready to go out of town.... lots to do, little time to do it in (headed out soon for a week+).<br><br><div class="gmail_quote">On Thu, Sep 6, 2012 at 6:34 PM, David White <span dir="ltr"><<a href="mailto:dwrudy@gmail.com" target="_blank">dwrudy@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I occasionally have a client who tries to email me and says his email gets blocked by my server. When I check the logs, I see this:<div>
<br></div><div><div><i>Sep  6 18:12:52 myers amavis[15197]: (15197-08) p.path BANNED:1 <a href="mailto:david@smoothstoneservices.com" target="_blank">david@smoothstoneservices.com</a>: "P=p003,L=1,M=multipart/mixed | P=p002,L=1/2,M=application/ms-tnef,T=tnef,N=winmail.dat | P=p004,L=1/2/1,T=image,T=gif,N=image001.gif,N=image001.gif", matching_key="(?-xism:^\\.(exe|lha|tnef|cab|dll)$)"</i></div>

<div><br></div><div>And then a little later...</div><div><br></div><div><div><i>Sep  6 18:12:58 myers amavis[15197]: (15197-08) Blocked BANNED (.image,.gif,image001.gif,image001.gif), [213.199.154.205] <a href="tel:%5B157.56.236.229" value="+15756236229" target="_blank">[157.56.236.229</a>] <<a href="mailto:client@emailaddress.com" target="_blank">client@emailaddress.com</a>> -</i></div>

<div><i>> <<a href="mailto:david@smoothstoneservices.com" target="_blank">david@smoothstoneservices.com</a>>, quarantine: banned-g4QhZGvwJvDF, Message-ID <<a href="mailto:6A9596BE385EC1499F83E464FA9ECCA20C668320@BY2PRD0611MB417.namprd06.prod.outlook.com" target="_blank">6A9596BE385EC1499F83E464FA9ECCA20C668320@BY2PRD0611MB417.namprd06.prod.outlook.com</a>>, mail_id: g4QhZGvwJvDF, Hits: -, size: 20916, 8439 ms</i></div>

</div><div><br></div><div>From this and the bounce that he forwards me (to a different address I give him), I determine that its bouncing because of the file in his signature (image001.gif). However, that does NOT match the "key" in this part of the log: matching_key="(?-xism:^\\.(exe|lha|tnef|cab|dll)$)"</div>

<div><br></div><div>Furthermore, the .gif extension is nowhere to be found in the /etc/amavisd.conf file (i.e. I'm not blocking emails because they contain .gif images).</div><div><br></div><div>Am I missing something here? This is strange... and annoying. </div>
<span class="HOEnZb"><font color="#888888">
<div><br></div>-- <br><div>- David White -</div><div>Smooth Stone Services <i>(soon to be CENTS)</i></div><div><i>Computing, Equipping, Networking, Training & Supporting </i></div><div><i>Nonprofit Organizations Worldwide</i><br>

<br></div><div>Existing Website: <a href="http://www.smoothstoneservices.com/" target="_blank">http://www.smoothstoneservices.com</a></div><div>New Website (coming soon): <a href="http://developCENTS.com" target="_blank">http://developCENTS.com</a></div>

<div style="line-height:130%;text-align:left;font-size:10px;overflow:hidden;margin-left:0px;word-wrap:break-word;margin-top:0px;padding:0px"></div><br>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div>- David White -</div><div>Smooth Stone Services <i>(soon to be CENTS)</i></div><div><i>Computing, Equipping, Networking, Training & Supporting </i></div>
<div><i>Nonprofit Organizations Worldwide</i><br><br></div><div>Existing Website: <a href="http://www.smoothstoneservices.com/" target="_blank">http://www.smoothstoneservices.com</a></div><div>New Website (coming soon): <a href="http://developCENTS.com" target="_blank">http://developCENTS.com</a></div>
<div style="padding:0px;margin-left:0px;margin-top:0px;overflow:hidden;word-wrap:break-word;color:black;font-size:10px;text-align:left;line-height:130%"></div><br>
</div>