Online- oder Offline-Untersuchung der Dokumente
Die Untersuchung der Daten beim Austausch kann entweder online oder offline erfolgen. Bei der Online-Untersuchung wird beispielsweise ein Dokument, wenn es auf dem Server abgelegt oder abgeholt wird, direkt auf Angreifer analysiert, während bei der Offline-Suche nach potenziellen Angreifern die Verzeichnisse oder Postfächer periodisch gescannt werden. Zum Umfang der Mail-Untersuchung gehören alle Elemente der E-Mail, wie etwa Header, Betreff, Absender, Dateiinhalt und auch der Datenweg der Mail.
Ziel und Zweck des Sicherheitssystems ist das Erkennen und Entfernen von Angreifern in E-Mails oder den Dokumenten, die zwischen dem Nutzer und dem Exchange- oder SharePoint-Server ausgetauscht werden. Was dabei genau passieren soll, kann der Anwender im Vorfeld einstellen. Dies kann beispielsweise die Entfernung des Angreifers oder die Ablage einer Nachricht in eine Quarantäne sein.
Das chronologisch letzte Modul von Forefront betrifft das Reporting. Hierbei berichtet das System über Menge und Häufung der Angreifer, über die durchgeführten Aktionen oder sonstige Maßnahmen.