在所有安装了 DLP 模块的企业邮件服务器上,邮件会被 DLP 模块处理。
DLP 模块接收邮件后,会检查邮件是否落在每一个已存在的策略范围。如果邮件不属于任何一个策略范围内,DLP 模块跳过此邮件不进行扫描。如果邮件落在任意的策略范围内,DLP 模块为邮件搜索与此策略的类别对应的数据片段。搜索包含邮件主题、邮件正文和所有的邮件附件。
如果搜索成功(发现的消息匹配策略类别),这意味着该策略被违反了。DLP 模块创建一个带有指定优先级的事件,并为邮件执行策略设置中设置的操作:删除邮件或让其原理收件人;并向指定的收件人发送策略违反通知。
一个消息副本可以附加到事件中,以方便后续调查。对消息执行的操作信息保存在 事件详细信息中。
如果搜索失败(邮件不包含与策略类别的匹配),DLP 模块进行违反下一条策略的邮件扫描。
依据一些策略,如果消息违反信息安全,DLP模块生成几个匹配已违反的策略数量的事件。
所有企业邮件服务器上的生成事件出现在同一个事件列表中。如果您的邮件基础设施造成的拓扑信息通过两个或两个以上安装了DLP模块的邮件服务器,数据泄漏的消息只在其中一个服务器进行扫描。这排除了任何重复的事件记录和扭曲报告统计。