Les messages sont traités par le module DLP sur tous les serveurs de messagerie de votre entreprise dotés du module DLP.
Après que le module DLP a reçu un message, il vérifie si le message est couvert par la zone d'action de chacune des stratégies existantes. Si le message n'appartient à la zone d'action d'aucune des stratégies, le module DLP ignore le message sans aucune modification. Si le message rentre dans la zone d'action d'une stratégie quelconque, le Module DLP recherche dans le message des données correspondant à la catégorie de cette stratégie. La recherche porte sur l'objet du message, le texte du message et toutes les pièces jointes.
En cas de résultat positif (le message contenait des équivalences avec une catégories de la stratégie), cela signifie que la stratégie a été violée. Le module DLP crée un incident selon la priorité définie et exécute sur les messages les actions définies dans les paramètres de la stratégie : il supprime le message ou le remet à son destinataire, mais il envoie également une notification sur la violation de la stratégie aux destinataires spécifiés.
Une copie du message peut être jointe à l'incident en vue d'une enquête ultérieure. Les informations relatives à l'action exécutée sur le message est enregistrée dans les données de l'incident.
Si la recherche n'a rien donné (le message ne contient aucune correspondance avec les catégories de la stratégie), le Module DLP vérifie le message selon la stratégie suivante.
Si le message viole la sécurité des informations de plusieurs stratégies simultanément, le module DLP crée plusieurs incidents conformément au nombre de stratégies violées.
Les incidents observés sur tous les serveurs de messagerie de l'entreprise sont repris dans une liste d'incidents uniques. Si, en fonction de la topologie de votre infrastructure de messagerie, un message transite par deux serveurs de messagerie dotés du module DLP ou plus, le message sera soumis à la recherche d'éventuelles fuites sur un seul serveur uniquement. Ceci permet d'éviter le dédoublement des incidents et le gonflage des statistiques dans les rapports.