Сообщения проходят обработку Модулем DLP на всех почтовых серверах организации, где установлен Модуль DLP.
После того, как Модуль DLP получает сообщение, он проверяет, входит ли сообщение в область действия каждой из существующих политик. Если сообщение не входит в область действия ни одной политики, Модуль DLP пропускает сообщение без проверки. Если сообщение входит в область действия какой-либо политики, Модуль DLP выполняет в сообщении поиск данных, соответствующих категории этой политики. Поиск выполняется в теме сообщения, тексте сообщения и во всех его вложениях.
Если поиск завершился успешно (в сообщении найдены совпадения с категорией политики), это означает, что политика нарушена. Модуль DLP создает инцидент с заданным приоритетом и выполняет над сообщением действия, заданные в параметрах политики: удаляет сообщение или пропускает его получателю,а также отправляет уведомление о нарушении политики заданным адресатам.
Копия сообщения может быть прикреплена к инциденту для дальнейшего расследования инцидента. Информация о действии, выполненном над сообщением, сохраняется в сведениях инцидента.
Если поиск завершился неуспешно (в сообщении не найдены совпадения с категорией политики), Модуль DLP переходит к проверке сообщения по следующей политике.
Если сообщение нарушает информационную безопасность одновременно по нескольким политикам, Модуль DLP создает несколько инцидентов согласно количеству нарушенных политик.
Инциденты, созданные на всех почтовых серверах организации, отображаются в едином списке инцидентов. Если согласно топологии вашей почтовой инфраструктуры сообщение проходит два и более почтовых сервера с установленным Модулем DLP, сообщение проходит проверку на утечки данных только на одном из них. Таким образом исключается дублирование инцидентов и искажение статистики в отчетах.