Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 2204 views
  • Users 0 members are here
Options
Suggested

[9.200][ANSWERED] SMTP: Data Protection not working for DENMARK

twister5800
Hi,

I have testet the "Data Protection" feature today, I have enabled ALL possible SophosLabs CCLs for Denmark, and set the Action to Allow and Notify for Administrator.

I have send mails with all kinds of secret stuff, phone numbers, bank accounts and social security numbers, but I was never notified.

Am I missing something or are the CCLs for Dk inaccurate?
Parents
  • 0
    Hey,

    thanks for the information. As we can see DLP was not triggered and therefor no notification was sent. The line "[DLP] Matching DLP expressions" only tells us that the email was scanned by DLP. If DLP would match you would see it in the "reason" and "extra" fields of the scanner line, here starting with "SCANNER[21792]: id="1000" severity="info" sys="SecureMail"".

    If you sent a mail like your example it's clear why it was not blocked:
    for example there is only 1 postcode in there. If you hover over the rule in WebAdmin you should see "Quantitiy: 10" there which is an indication how much postalcodes have to be in the mail before it is considered to be data leakage. Blocking mails with just one occurance of a postcode is not the intent of this feature. Please try again with some more postcodes in the mail.

    Hope that helps.

    Regards,
    Benjamin
Reply
  • 0
    Hey,

    thanks for the information. As we can see DLP was not triggered and therefor no notification was sent. The line "[DLP] Matching DLP expressions" only tells us that the email was scanned by DLP. If DLP would match you would see it in the "reason" and "extra" fields of the scanner line, here starting with "SCANNER[21792]: id="1000" severity="info" sys="SecureMail"".

    If you sent a mail like your example it's clear why it was not blocked:
    for example there is only 1 postcode in there. If you hover over the rule in WebAdmin you should see "Quantitiy: 10" there which is an indication how much postalcodes have to be in the mail before it is considered to be data leakage. Blocking mails with just one occurance of a postcode is not the intent of this feature. Please try again with some more postcodes in the mail.

    Hope that helps.

    Regards,
    Benjamin
Children
No Data
Unfiltered HTML