Wirusy/złośliwe oprogramowanie używające poczty elektronicznej mogą rozprzestrzeniać się za pomocą wiadomości e-mail, automatyzując działania programu do obsługi poczty elektronicznej zainstalowanego na komputerze, lub poprzez rozprzestrzenianie samego wirusa/złośliwego oprogramowania. Działanie typu „mass-mailing” to sytuacja, gdy infekcja rozprzestrzenia się szybko w środowisku programu Microsoft Exchange. Firma Trend Micro opracowała mechanizm skanowania do wykrywania zachowań, które wykazują zazwyczaj ataki typu „mass-mailing”. Zachowania te są zapisane w pliku sygnatur wirusów, który jest aktualizowany poprzez serwery Trend Micro ActiveUpdate.
Program Messaging Security Agent (tylko w wersji Advanced) może podejmować specjalne operacje przeciwko atakom typu „mass mailing” za każdym razem, gdy wykryje działanie typu „mass mailing”. Akcja ustawiona dla ataku typu „mass mailing” ma pierwszeństwo przed wszystkimi innymi akcjami. Domyślna akcja wykonywana przeciw atakom typu „mass mailing” to usunięcie całej wiadomości.
Na przykład: Program Messaging Security Agent został skonfigurowany tak, aby poddawał kwarantannie wiadomości, jeśli wykryje, że są zarażone robakiem lub trojanem. Zostanie również włączone wykrywanie zachowania typu „mass mailing”, a agent zostanie ustawiony na usuwanie wszystkich wiadomości wykazujących zachowanie typu „mass mailing”. Agent odbiera wiadomość zawierającą robaka, na przykład odmianę robaka MyDoom. Ten robak wykorzystuje własny silnik SMTP do rozsyłania się pod adresy e-mail, które gromadzi z zarażonego komputera. W przypadku wykrycia robaka MyDoom i rozpoznania jego zachowania typu mass-mailing przez agenta wiadomość zawierająca robaka zostanie usunięta — w przeciwieństwie do kwarantanny stosowanej w przypadku robaków niewykazujących zachowania typu „mass mailing”.