A primeira camada é um "Filtro de Reputação". Trata-se de um filtro baseado em IP que protege a empresa na margem do sistema de e-mails. É o estágio mais simples que usa menos capacidade de processamento do equipamento. Grande parte das mensagens é filtrada evitando que as mesmas tenham que ser analisadas pelos filtros posteriores que consomem mais recursos IronPort. Esta funcionalidade permite que o IronPort possa processar mais de 150 mensagens por segundo o que representa 500.000 mensagens por dia. 

Conhecer a identidade real de um remetente de e-mails é a chave para identificar SPAM.

 Um novo conceito utilizado pelo IronPort é o SMTPi, onde o i de "identidade" é adicionado ao protocolo SMTP, utilizando o IP do servidor de envio de e-mails para estabelecer identidade. Este é uma forma muito poderosa por ser o endereço IP a única forma de verificar a identidade de um gateway. Por definição, todo o servidor de e-mail na Internet possui um endereço IP válido associado a ele, sendo assim, pode-se utilizar estes endereços para se estabelecer reputação, sem que esperamos por anos para a definição de um novo protocolo que o faça. 

Uma coisa que é virtualmente impossível de se forjar em uma transmissão SMTP é o endereço de IP do remetente. O endereço IP do remetente é estabelecido através da conexão TPC/IP, e o se este endereço for forjado, a conversação "Two-way" do SMTP não é estabelecida, por que o pacote de retorno necessário para dar continuidade à conversação SMTP não pode ser roteado para o verdadeiro endereço IP. Sendo assim, o endereço IP de um servidor pode ser considerado um "CPF" dos servidores que enviam e-mail através da Internet.

Baseando-se no fato do IP do remetente ser único a IronPort criou o Senderbase.org.

O SerderBase é como um "SERASA" que cria um "rating" para remetentes de e-mails. É uma base de dados aberta que tem sido rapidamente adotada pelos ISPs e pelas comunidades de plataforma aberta. Hoje existem mais de 13.000 ISPs, empresas e organizações que consulta e contribui com dados para o SenderBase. Estes contribuidores agem como um sensor de rede em tempo real, detectando o volume das mensagens sendo transmitidas por qualquer endereço IP da Internet. Esta massa de dados é muito interessante pois, se uma empresa está enviando mais de 100 mil mensagens por dia, de duas uma; ou a empresa é um dos poucos ISPs no mundo, ou pode ser considerada um spammer. É muito fácil para um spammer mascarar o conteúdo de suas mensagens, mas é quase impossível se mascarar volume.

Além das informações de volume, o SenderBase verifica há quanto tempo um remetente tem enviado mensagens em um determinado IP, país de origem, se eles aceitam mensagens de retorno, se seus servidores DNS estão com resolução correta, se estão ou não em listas negras, etc. 

Todos estes dados são classificados utilizando um algoritmo estatístico, e um score entre -10 e +10 é aplicado. O IronPort se abastece dos "scores" da base de dados do SenderBase automaticamente, utilizando estes índices para "estrangular" o volume de e-mails que cada servidor poderá enviar para a sua empresa. Quanto mais "spammy" um remetente parecer, mais devagar suas mensagens são recebidas. 

Os "Reputation Filters" (Filtros de Reputação) trabalham para desviar o maior número possível de e-mails dos filtros de conteúdo (anti-spam e antivírus). Vírus sabidamente ruins são simplesmente deletados. E-mails conhecidos das companhias G2000 são automaticamente roteadas sem que os filtros de spam sejam acionados, reduzindo o número de falsos positivos. O SenderBase faz um ótimo trabalho rastreando todos os IPs de uma empresa que esteja enviando e-mail. Existem casos onde uma empresa possui centenas de endereços IPs e os endereços IPs dos servidores de e-mail são trocados de tempos em tempos. Compilar as listas dos IPs utilizados por empresas indesejadas representa uma grande carga de trabalho. O IronPort faz isto automaticamente. Se algum destes endereços IPs ficar comprometido por estar com o relay aberto, o SenderBase irá detectar e re-rotear o e-mail para que seja analisado pelo Brightmail para que sejam retirados os spams do servidor sob ataque.

Os "Reputation Filters" do SenderBase podem reduzir o tráfego dos filtros de conteúdo (anti-spam) em até 50%.

O IronPort possui tipos diferentes de respostas para remetentes de mensagens. As tradicionais "blacklists" e "whitelists" encontrados nos servidores de correio (MTAs) tradicionais, possuem apenas dois modos – tudo ou nada. O problema é que os spammers usam técnicas variadas para não parecerem pretos nem brancos, mas sim "cinzas". O método tradicional tente a colocar os remetentes da lista "cinza" cada vez mais na "lista negra", aumentando o risco de falsos positivos, quando e-mails importantes são perdidos. Se um cliente importante, por algum motivo, sofre um ataque de relay ou mesmo está mandando uma grande mala direta, o IronPort identifica o movimento, porém não bloqueia as mensagens. A velocidade do recebimento é reduzida. Se for um spammer, ele irá desistir de enviar as mensagens por perceber o movimento, se for um cliente legítimo, o e-mail será recebido normalmente.

A "Segunda Camada" de filtragem é o engine de análise de conteúdo ("content scanning"). As três palavras que melhor descrevem o content scanning são: rápido, flexível e granular. 

O content scanning é um aspecto importante que qualquer solução de correio eletrônico. Gerenciar corretamente e diferenciar entre usuários que cometem erros de usuários maliciosos é um trabalho que exige uma solução complexa e de conhecimento abrangente.  

As aplicações típicas contêm: 

• Varredura por propriedade intelectual, evitando que informações confidenciais da empresa "vazem" via e-mail.
• Prevenir a entrada de conteúdo ilícito em sua rede
• Assegurando obediência a requisitos de confidencialidade da indústria.

O mecanismo de varredura de conteúdo é uma linguagem script desenvolvida especificamente para e-mail. Trata-se de uma linguagem intuitiva do tipo "if...then...else". A linguagem permite que se programe a varredura de qualquer parâmetro de uma mensagem, de quem é, para quem foi destinada, campo subject, permite varredura de palavras-chave no corpo da mensagem, nos arquivos anexos. O IronPort irá abrir recursivamente arquivos ZIP e pode ler uma gama extensa de tipos de arquivos. As ações que se pode tomar se uma palavra-chave for encontrada, a mensagem pode ser deletada, arquivada (archive), usuários podem ser notificados, entregue, bounce, etc. 

A lógica da linguagem suporta "regular expression matching" e "nested logic", o que permite criar scripts com controles granulares. Você pode dizer, por exemplo, que se uma mensagem for destinada a um diretor, a mesma não sofrerá análise de spam, ou que seu arquivo anexo não será removido. 

Também é possível incluir dados de LDAP (diretórios) em filtros. Sendo assim, mensagens destinadas, por exemplo, para a engenharia, podem transpor os filtros de spam. Também é possível palavras-chave com um grupo de LDAP. Com este recurso pode-se previnir que informações confidenciais deixem a área jurídica ou comercial de uma empresa. Palavras especiais inseridas em relatórios, como "uso-interno" podem previnir que informações estratégicas deixem a empresa.