一个CASE分析垃圾邮件示意图如下。

　　垃圾邮件在判定和隔离时可能会采用直接删除或退件措施，但这种方式存在风险，删除不确定的邮件可能会给用户带来损失。采用隔离区策略可以很好解决隔离处理中的问题，隔离区有系统级隔离区和ISQ用户级隔离区两种，系统级隔离区存放重要的或只有管理员能查看的可疑垃圾邮件，用户级隔离区存放发送给用户的可疑垃圾邮件。用户可以对用户级隔离区自行管理，决定删除或放行邮件。在垃圾邮件非常严重的环境中，应该采用严格的过滤策略：删除确定的垃圾邮件，隔离可疑的垃圾邮件;当垃圾邮件不严重或用户认为删除邮件风险太大时应该采用保守过滤策略：对确定的和可疑的垃圾邮件都进行隔离。

　　在Anti-Virus防病毒邮件模块中IronPort支持多个防病毒引擎，推荐使用Sophos或McAfee引擎来扫描邮件，Sophos和McAfee能够扫描病毒、木马和蠕虫等。

　　内容过滤模块和邮件过滤模块在很多方面有相似之处(如前述)，它可以根据邮件的信体、邮件附件内容和大小、发件人地址、收件人地址等进行过滤，过滤出的可疑邮件可以采取删除、隔离、转发、加密、给管理员发送通知信等处理措施。对于进行过加密的邮件附件，也可以对附件的内容进行过滤，这对于企业的DLP(数据泄漏保护)来说有非常好的应用意义。内容过滤规则举例如下图。

　　上图示例的规则是隔离包含可执行文件类型附件的邮件。邮件从外部域名(outside.com)进入到邮件网关，通过邮件网关的接收器(Listener)接收并进入邮件管道，经信誉过滤器、邮件过滤器、垃圾邮件过滤器、病毒邮件过滤器后到达内容过滤器，在内容过滤器中要对邮件附件内容进行扫描，如果附件含有可执行文件，则对邮件采取隔离。

　　Anti-Virus防病毒邮件模块是针对已知病毒进行过滤，当邮件当中包含未知病毒时，未知病毒爆发过滤器(VOF)将发挥作用。VOF利用了SensorBase的过滤技术，SensorBase能侦测邮件特征，如一天内的某个时段某一地区平均邮件量是10万，当有一天邮件量突增到50万时，这种情况可能由未知病毒引起，SensorBase能够分析提取出多出邮件的邮件特征，并通知邮件网关上的VOF模块处理接收到的类似特征邮件。如下图是是否采用VOF模块时受病毒感染的客户端数对照图。

　　图中红线是未采用VOF模块时受病毒感染的客户端数曲线，是一个正太分布曲线，最高点上的回落是在大多数客户端都更新了防病毒引擎的特征库时发生。采用VOF模块时，红色曲线上升到I点时VOF模块收到SensorBase的异常警告，处理后受病毒感染的客户端数变为蓝色曲线，感染得到及时控制。图中的表格数据是实际情况中的数据对比。

　　VOF工作过程示意图如下。

　　VOF采用临时的邮件隔离策略处理未知病毒爆发。含未知病毒的邮件过滤出之后放到临时隔离区，当防病毒引擎特征库针对该病毒做更新后即可将隔离区中的邮件取出，经重新扫描过滤后发送到客户端。VOF处理方式能做到比病毒特征库更新平均提前13小时以上。