Die Nachrichten werden allen Mailservern Ihres Unternehmens, auf denen das DLP-Modul installiert ist, durch das DLP-Modul untersucht.
Nach dem Erhalt einer Nachricht prüft das DLP-Modul, ob die Nachricht zum Gültigkeitsbereich einer der vorhandenen Richtlinien gehört. Wenn die Nachricht nicht zum Gültigkeitsbereich einer Richtlinie gehört, überspringt das DLP-Modul diese Nachricht, ohne sie zu untersuchen. Wenn die Nachricht zum Gültigkeitsbereich einer der Richtlinien gehört, sucht das DLP-Modul in der Nachricht nach Daten, die der Kategorie dieser Richtlinie entsprechen. Die Suche wird im Betreff, Text und in allen Anhängen der Nachricht ausgeführt.
Wenn die Suche erfolgreich abgeschlossen wurde (in der Nachricht wurden Übereinstimmungen mit der Richtlinienkategorie gefunden), bedeutet das, dass die Richtlinie verletzt wurde. Das DLP-Modul legt einen Vorfall mit der festgelegten Priorität an und wendet die Aktionen auf die Nachricht an, die in den Richtlinieneinstellungen definiert wurden: Die Nachricht wird gelöscht oder an den Empfänger weiteregeleitet. Es wird außerdem eine Benachrichtigung über den Verstoß der Richtlinie an die festgelegten Adressaten versendet.
Eine Kopie der Nachricht kann an den Vorfall für seine weitere Untersuchung angehängt werden. Informationen über die Aktion, die auf die Nachricht angewandt wurde, werden in den Angaben zum Vorfall gespeichert.
Wenn die Suche erfolglos abgeschlossen wurde (in der Nachricht wurden keine Übereinstimmungen mit der Kategorie der Richtlinie gefunden), geht das DLP-Modul zur Untersuchung der Nachricht gemäß der nächsten Richtlinie über.
Falls eine Nachricht die Informationssicherheit gemäß mehreren Richtlinien verletzt, erstellt das DLP-Modul mehrere Vorfälle gemäß der Anzahl der verletzten Richtlinien.
Vorfälle, die auf allen Mailservern des Unternehmens erstellt wurden, werden in einer einheitlichen Liste der Vorfälle angezeigt. Wenn gemäß der Topologie Ihrer E-Mail-Infrastruktur die Nachricht zwei oder mehrere Mailserver mit dem installierten DLP-Modul passiert, wird sie auf nur einem von ihnen auf Datenverlust untersucht. Auf diese Weise wird das Duplizieren von Vorfällen und eine Verfälschung der Statistik in den Berichten vermieden.