I am using the SA rule keyword "tflags [SOME_RULE_NAME] multiple" to get SA to count multiple occurrences of the same word.  An interesting side effect is that emails with HTML count everything twice so if there is really only 1 instance of a word, we get 2 hits -- one for the plain text part of the email and one for the HTML part of the email.
<br><br>Is there any way to only scan the HTML portion if it exists then fallback to the text only if it is not an HTML email?&nbsp; We really need to accurately score multiple words without getting double scored.<br clear="all">
<br>-- <br>Dave Jones