Оба, либо нет, либо нет.
Никто не обязан это делать. Итак, как говорит Роберт Грайнер, вы не должны assume.
Реальность такова, что если вы продаете свой почтовый клиент или даже отдаете его, вам необходимо учитывать, чего ожидают ваши клиенты.
Если вы ожидаете, что они будут использовать ваш клиент вместе с хорошо настроенными, приличными почтовыми серверами и автономным антивирусным программным обеспечением, вам может не потребоваться делать это самостоятельно.
Просто будьте уверены, что конечный пользователь знает, что они получают (и не получают) от вас, и имеет соответствующее лицензионное соглашение.
Вы почти наверняка не сможете писать и поддерживать свои собственные обновления антивируса, если только вы не можете позволить себе тратить миллионы на исследования и разработки каждый год, поэтому, если вы собираетесь позаботиться об этом самостоятельно, посмотрите на интеграцию с API установленного (не обязательно лидера рынка) поставщика антивирусных программ. Вам, вероятно, придется заплатить лицензионный сбор за интеграцию и распространение своего программного обеспечения.
Тем не менее, мое личное ожидание состояло бы в том, чтобы не полагаться на почтовый сервер и клиента и иметь собственную антивирусную программу для настольного компьютера.