Hallo Hanghuhn,
mit heuristisch meine ich die Bewertung gewisser Eigenschaften (Aufbau, Formatierungen...) aber auch Signaturen. Wie das genau funktioniert, lässt Trend Micro natürlich nicht raus.
Bei mittlerer bzw. hoher Erkennungsrate sind mir persönlich die False Positives einfach zu hoch.
Absender Adressen oder IPs sind jedenfalls nicht im Pattern enthalten.
Absender Adressen sind i.d.R. gefaked.
IP-Adressen erschlägt Trend Micro mit dem Email Reputation Service (ERS, RBL Blacklist). Mails von gelisteten IPs werden gar nicht erst angenommen, würden also nicht in der Quarantäne landen.
ERS kann man nur nutzen, wenn es keinen vorgelagerten MTA o.ä. gibt, d.h. Mails direkt per SMTP auf das System zugestellt werden. Nur dann ist die absendende IP direkt "sichtbar" und die Annahme kann noch verweigert werden.
Dies ist übrigens auch im IMHS (InterScan Messaging Hosted Security) enthalten, der jetzt mit dem Nachfolger Deiner Suite ausgeliefert wird.
Gruß Christian