why did the email get marked as spam

I do not know if this will help, but take a look in the header. You should see some X-Spam stuff in there. This will give you some scores and possibly some other stuff. It will depend on what it went trough to get to you.

Intermedia Knowledge Base: What is X-Spam-Status header?

You can also check the URL to see if it is a known spammer.

https://www.trustedsource.org/en/feedback/url
https://sitereview.bluecoat.com/sitereview.jsp

Sample header from an email I sent myself from work to home:

X-IronPort-AV: E=Sophos;i="5.15,388,1432612800"; 
   d="scan'208,217";a="54969303"

X-VonPrev: Checked
X-IronPort-AV: E=Sophos;i="5.15,388,1432612800"; 
   d="scan'208,217";a="54969301"

x-originating-ip: [IP REDACTED]

X-Spam-Status: No, score=-2.5
X-Spam-Score: -24
X-Spam-Bar: --
X-Spam-Flag: NO

Hey, Coder, what'er ya doin' speakin' Cisco here!?! [[[:D]]]  Tell your office they should dump that old Ironport and get a UTM! [[[:D]]][[[:D]]]

Max, I assume you mean that you have a "Warn" selection in the 'Spam Filter' section of SMTP so that some emails come to you flagged as SPAM instead of being quarantined or rejected.

For every email that gets past the SMTP-time checks (RBLs, rDNS, Greylisting, BATV & SPF), the Proxy accepts the body and attachments of the email, and then uses ctasd to calculate a "signature" which it sends to a cloud service.  When the service replies with "Unknown" or "Suspect," the email is delivered.  The other possibilities are "Bulk" (SPAM) an "Confirmed."  Here's an example from our SMTP log file of a line showing the signature and the report:

2015:07:02-06:34:24 secure exim-in[12690]: 2015-07-02 06:34:24 1ZAcl5-0003Ig-1o ctasd reports 'Suspect' RefID:str=0001.0A090202.559521C0.0043,ss=2,re=0.000,recu=0.000,reip=0.000,cl=2,cld=1,fgs=0

Cheers - Bob