Existem algumas soluções básicas de prateleira (por exemplo, a oferta do Macafee) que podem funcionar como uma regra de acesso básica baseada em função, mas para obter qualquer valor que você precise ajustar / configurar qualquer solução de DLP.
O que algumas organizações com quem trabalho fazem é definir permissões por usuário (por exemplo, somente esses 3 indivíduos têm permissão para enviar anexos, somente os que podem imprimir, etc.). Para este cenário, você coloca sua confiança nesses usuários nomeados. Se eles cometerem um erro ou se tornarem desonestos, você ainda poderá verificar os logs para ver o que eles enviaram, mas os dados podem vazar. Pelo menos você reduziu o risco para apenas aqueles indivíduos (ou qualquer pessoa com suas credenciais)
O que os outros fazem é anexar palavras de código a todos os documentos principais e definir o serviço DLP para acioná-los. Gateways de correio padrão podem ter essa funcionalidade (eu sei Mailsweeper e afins)
Uma solução mais madura é impor classificações em todos os documentos - isso pode ser um exagero para você agora, mas você está em um tamanho onde é gerenciável e se tornará cada vez mais útil à medida que cresce. Usando classificações, torna-se muito fácil negar documentos secretos ou internos de saída, ao mesmo tempo em que permite documentos de menor sensibilidade.
Para ficar mais perto de sua pergunta exata , todas as opções acima registrarão o que foi enviado - o mais apropriado para você se você não precisar bloquear pode ser apenas para ativar o registro de todos os e-mails enviados com anexos no seu gateway de e-mail (por exemplo, o Exchange ...)