E-Mail-basierte Viren und Malware können sich per E-Mail verbreiten, indem sie die infizierten E-Mail-Clients automatisieren oder indem der Virus oder die Malware sich selbst verbreiten. Unter Massenmail-Verhalten versteht man eine Situation, in der sich eine Infektion schnell in einer Microsoft Exchange Umgebung ausbreitet. Die Scan Engine von Trend Micro wurde so konzipiert, dass sie das Verhalten von Massenmail-Angriffen entdeckt. Diese Verhaltensweisen werden in der Viren-Pattern-Datei aufgezeichnet, die über die Trend Micro ActiveUpdate Server aktualisiert wird.
Sie können festlegen, dass der Messaging Security Agent (nur Advanced) bestimmte Aktionen gegen Massenmail-Angriffe durchführt, sobald er einen entsprechenden Hinweis darauf erkennt. Die für das Verhalten bei einem Massenmail-Angriff festgelegte Maßnahme erhält Vorrang vor allen anderen Aktionen. Die Standardaktion bei Massenmail-Angriffen ist "Gesamte Nachricht löschen".
Beispiel: Sie konfigurieren den Messaging Security Agent so, dass Nachrichten, die von einem Trojaner oder einem Wurm infiziert wurden, in Quarantäne verschoben werden. Außerdem aktivieren Sie die Maßnahmen, die bei typischem Massenmail-Verhalten ergriffen werden sollen; der Agent soll Mails mit einem derartigen Verhaltensmuster löschen. Nun empfängt der Agent eine Nachricht, die einen Wurm wie MyDoom enthält. Dieser Wurm verbreitet sich über eine inhärente SMTP-Engine an alle E-Mail-Adressen, die er auf dem infizierten Computer sammelt. Entdeckt der Agent den MyDoom-Wurm und dessen Massenmail-Verhalten, löscht er umgehend diese Mail – entgegen der Quarantäne-Aktion für Würmer ohne Massenmail-Verhalten.