Lorsqu'un message arrive sur notre passerelle de messagerie, l'anti-virus effectue son analyse en trois étapes:

1. Le nom des documents attachés est examiné. Si l'extension du nom indique un fichier potentiellement dangereux (.exe, .com, …etc), alors le document est supprimé du message et remplacé par une notice informant le destinataire de cette suppression. Les fichiers à doubles extensions (par exemple .exe.doc) sont également effacés du message.
2. Le système analyse les documents attachés pour déterminer s'ils contiennent un virus. Si oui, les documents infectés sont effacés du message.
3. Le contenu du messages est analysé pour s'assurer qu'il ne contient aucun élément potentiellement dangereux (par exemple du code html exploitant une faille de sécurité).

Si l'un des tests est positif, le système nettoie le message, indique ce nettoyage par une notice dans le corps du message et ajoute la marque {virus?} dans le sujet du message.