La exploración del tráfico POP3 en busca de virus es más fácil, porque los correos se transmiten en su totalidad. Existen soluciones gratuitas para el tráfico (siempre que tenga un escáner de virus que en su mayoría no es gratuito) y la mayoría de los firewalls (inspección profunda) pueden hacer esto.
El IMAP, en cambio, es mucho más difícil, porque los clientes de correo a menudo no reciben el correo completo a la vez, solo las partes que necesitan en este momento. Los ejemplos típicos son Thunderbird que obtiene grandes archivos adjuntos en partes y Apple Mail que obtiene primero la estructura de correo y luego cada parte por separado. Si solo realiza un análisis de red pasivo (como la mayoría de los firewalls), le falta un contexto como la codificación de transferencia de contenido, que es importante para escanear los archivos adjuntos.
Por lo tanto, muchos firewalls o bien no son compatibles con IMAP (como Sophos UTM), tienen límites documentados que apuntan a serias implicaciones en el uso real una vez que los comprende (consulte "Descripción de las limitaciones del análisis antivirus de IMAP" para Juniper Firewalls ) o Afirma tener soporte para IMAP, pero probablemente no sepa de qué están hablando (o están en silencio sobre los límites).
El escaneo IMAP en línea seguro, en cambio, necesita pasarelas de nivel de aplicación (ALG) que no solo inspeccionan el tráfico sino que pueden manipularlo para que tengan suficiente contexto. La inspección profunda pasiva que tiene en la mayoría de los NGFW (firewall de próxima generación) o UTM (Unified Threat Management) puede ser suficiente para demostraciones pero no para la vida real.
Algunos firewalls no ofrecen el escaneo IMAP en línea, sino que reflejan las cuentas IMAP, escanean nuevos correos y brindan un servidor IMAP en el mismo firewall. En este caso, las credenciales de la cuenta IMAP original deben almacenarse en el firewall y el usuario obtiene credenciales diferentes para acceder al servidor IMAP de los firewalls.