Dienstleistungen
Kontaktieren

E-Mail-Sicherheitslösungen: Acronis, Sophos & Barracuda

Sedat Dogan
Sedat Dogan
aktualisiert am 22. Juni 2026

E-Mail ist einer der häufigsten Einstiegspunkte für Cyberangriffe, und integrierte Schutzmaßnahmen reichen nicht mehr aus, um gezielte Bedrohungen zu bewältigen. Wir haben drei Cloud-E-Mail-Sicherheitsplattformen (Acronis, Sophos und Barracuda) mit 100 Tests in 11 Bedrohungskategorien getestet.

Benchmark-Ergebnisse für Cloud-E-Mail-Sicherheitslösungen

Lesen Sie die Benchmark-Methodik für E-Mail-Sicherheitslösungen, um zu erfahren, wie wir diese Tools getestet und Ergebnisse gemessen haben.

Vergleich von E-Mail-Sicherheitslösungen basierend auf Urteilskategorien

Acronis Advanced Email Security

  • Acronis hat die höchste Gesamterkennungsrate (122/200) und ist bei GenAI-Phishing mit 100 % am stärksten. Alle zehn polierten Geschäfts-Vorwände wurden blockiert, einschließlich gefälschter Vorab-Board-Informationen, Microsoft 365-Wiederbestätigungsflüsse und fingierter rechtlicher NDAs.
    • Dies ist die schwierigste Kategorie im Benchmark mit einer durchschnittlichen Schwierigkeit von 8,2/10. Das Abfangen aller zehn deutet darauf hin, dass Acronis semantische und kontextbezogene Phishing-Hinweise in diesem Benchmark gut handhabte, anstatt sich nur auf offensichtliche Grammatik- oder Formatierungssignale zu verlassen.
  • Auch Kategorie F und Kategorie D unterstützen dieses Bild: Acronis erzielte 89 % bei Marken-/Domain-Imitation und 90 % bei URL-Phishing, einschließlich eines BLOCKIERENs beim Test zur Injektion von „authentication-results"-Headern. Die aggregierten Ergebnisse deuten auf eine starke Handhabung von Imitations- und URL-Analysefällen hin.
  • Das saubere falsch-positive Ergebnis ist operationell bedeutsam. Keine der acht Kontrollnachrichten wurde blockiert, was bedeutet, dass die 67%ige Erkennungsrate keine kompensierenden Kosten für den Verlust legitimer E-Mails mit sich bringt.
  • Die Negativpunkte konzentrieren sich auf niedrigere Schwierigkeitsgrade. Basis-Spam (Kategorie A, 44 %) ist niedriger als bei anderen Tools, mit Fehlern bei pharmazeutischem Spam, Lotterie-Betrug und einem einfachen Romantikbetrug auf Schwierigkeitsstufen 1 bis 2. Die Lücke deutet darauf hin, dass Acronis raffinierte Angriffe gegenüber Bulk-Verkehr mit geringem Aufwand priorisiert.

Sophos Email Security

  • Sophos hat die zweithöchste Gesamtpunktzahl (105,5/200). Es erreichte 100 % in Kategorie B (EICAR-Malware-Varianten) und fing jede Archiv-Nesting-Variante, passwortgeschütztes ZIP und Offset-Toleranztest ab.
  • Sophos' sichtbarste Schwächen sind URL-Phishing (Kategorie D, 58 %) und Tarnungstechniken (Kategorie J, 22 %). Die Lücke beim URL-Phishing ist bemerkenswert, da Links zu den häufigsten Zustellmechanismen für Phishing gehören und Kategorie D mehrere realistische Wege testet, wie Angreifer diese verstecken oder umleiten.
  • Sophos' Punktzahl von 58 % im Vergleich zu Acronis' 90 % deutet darauf hin, dass seine URL-Analyse-Schicht bei Umleitungen, Verschleierung und URL-Platzierungen außerhalb des Textkörpers weniger konsistent war.

Barracuda Email Protection

  • Barracudas Erkennungspunktzahl von 60/200 ist niedriger als die der anderen beiden Produkte. Kategorie I (GenAI-Phishing) ergab 0 % Erkennung, und Kategorie A (Spam: 33 %) hat die niedrigste Punktzahl unter den Wettbewerbern. Dies deutet darauf hin, dass Barracuda in dieser Konfiguration gegen Spam, GenAI-Phishing und Social-Engineering-Szenarien des Benchmarks weniger effektiv war.
  • Kategorie B (Bekannt-Malware-Erkennung via EICAR-Teststrings, 89 %) und Kategorie C (Trägerdateitypen wie PDFs mit eingebettetem JavaScript, HTML-Smuggling und LNK-Verknüpfungen, 70 %) sind mit anderen Anbietern konkurrenzfähig.
  • Barracudas Kategorie J (Tarnungstechniken, 44 %) Ergebnisse zeigen das Beste der drei Anbieter. Dies deutet darauf hin, dass die zugrunde liegende Inhaltsprüfungsmaschine Funktionen wie Nullbreitenzeichen, kodierte Betreffzeilen und Homoglyphen angemessen handhaben kann.
  • Die Schwächen sind in Kategorien prominenter, die für den modernen Bedrohungsschutz am wichtigsten sind. QR-Code-Phishing (Kategorie E, 13 %), Markenimitation (Kategorie F, 11 %), BEC (Kategorie G, 11 %) und Erpressung (Kategorie H, 22 %) liegen alle weit unter dem Vergleich.
  • Bei den elf Tests der harten Stufe blockierte Barracuda nur einen und verpasste die verbleibenden zehn.

Top 3 Cloud-E-Mail-Sicherheitslösungen

Acronis Advanced Email Security detaillierte Analyse

Wenn wir im Acronis Cyber Protect Cloud-Interface im linken Menü Acronis Email Security auswählen, sehen wir den folgenden Bildschirm. Anschließend klicken wir durch, um auf die E-Mail-Sicherheitskonsole zuzugreifen.

Da wir noch keine Einrichtung abgeschlossen haben, zeigt unser Dashboard nur die Menüpunkte an:

  • Vorfälle: Erkannte Sicherheitsvorfälle und Angriffsaktivitäten.
    • Vorfallreaktion: Tools zur Untersuchung und Reaktion auf Vorfälle.
    • Verkehr: Einblick in gescannte E-Mail- oder Webverkehrsmuster.
    • Periodische Berichte: Geplante Sicherheits- und Schutzberichte.
  • Sicherheitsoperationen: Operative Sicherheitskontrollen und Überwachungstools.
  • Erkennungseinrichtung: Konfiguration für Erkennungsregeln, Scannen und Schutzeinstellungen.

Vom Menü „Einstellungen" links gehen wir zu „Geschützte E-Mail-Ressourcen".

Da es noch keine Ressourcen gibt, leitet uns das System zum Konfigurationsfluss um. Wir klicken auf „E-Mail-Schutz konfigurieren". Das System fragt uns nach einer Eskalations-E-Mail-Adresse zur Meldung von Problemen und fragt, welchen E-Mail-Dienst wir nutzen.

Für diesen Test fahren wir mit einem Anbieter nach Maß über MX fort. Wir tun dies, um Anbieter direkt vergleichen zu können, ohne von den integrierten Schutzmaßnahmen in Microsoft 365 oder Google Workspace beeinflusst zu werden.

Wir wählen den E-Mail-Dienst aus und wählen die Inline-Verbindungsmethode. Dies bedeutet, dass Acronis bösartige E-Mails scannt und blockiert, bevor sie zugestellt werden.

Wir fügen auch einen Eskalationskontakt hinzu, den Acronis für Account-Übernahmen, Sicherheit oder Verbindungsprobleme nutzen kann. Der nächste Schritt ist die Aktivierung der Google Workspace-App, die Onboarding, genaue Benutzerzählung für die Abrechnung und Abhilfemaßnahmen wie das Entfernen von versehentlich zugestellten bösartigen E-Mails unterstützt.

Wir fügen die verbundene Domain, aimultiple.com, hinzu, und das System ruft automatisch die MX-Einträge ab.

Wir stellen auch die Lizenzberechnungsmethode auf „Entsprechend gemeldeten Plätzen" ein und geben 100 Plätze ein. Nach diesen Einstellungen fahren wir mit „Weiter" fort, um die MX-Konfiguration fortzusetzen.

Das System fordert uns auf, einen TXT-Eintrag hinzuzufügen, um den Domänenbesitz zu verifizieren. Wir fügen den Eintrag hinzu und warten auf die Verifizierung.

Wir können auch die konfigurierten SMTP-Zielserver verwalten, bestätigen, dass TLS aktiviert ist, und die Aktion „Verifizieren" verwenden, um zu überprüfen, ob der TXT-Eintrag korrekt veröffentlicht wurde. Diese Seite ermöglicht es uns auch, Server- und TLS-Einstellungen zu bearbeiten oder die Domain bei Bedarf zu löschen.

Wir haben insgesamt 100 E-Mails gesendet, die als bösartig oder Spam betrachtet werden könnten. Das Dashboard zeigt nun Statistiken wie die Anzahl der gescannten E-Mails, die als Spam klassifizierten E-Mails, die als bösartig klassifizierten E-Mails und die Anzahl der nach Angriffstyp empfangenen E-Mails. Es gibt auch eine Statistik, die zeigt, welche E-Mail-Adressen am häufigsten angegriffen wurden.

Im Menü „Scans" können wir die Scan-Statistiken für alle eingehenden E-Mails sehen. Die Aufschlüsselung nach Dateityp ist ebenfalls ein nützliches Detail. Darüber hinaus können wir in der gesamten Anwendung den Datumsbereich ändern, indem wir oben auf der Seite auf „Letzter Tag" klicken.

Die Filterung im Abschnitt „Scans" ist sehr detailliert. Hier sind einige der Optionen:

  • Absenderadresse/Domain/IP: Die primären Indikatoren zur Identifizierung bösartiger oder gefälschter Absender.
  • Imitierter Anzeigename: Zielt direkt auf eine der häufigsten Phishing-Techniken ab, bei der der sichtbare Name legitim aussieht, die tatsächliche Adresse jedoch nicht.
  • Antwort-an-Adresse: Ein weiteres wichtiges Phishing-Warnsignal. Wenn die Antwort-an-Adresse von der Absenderadresse abweicht, deutet dies oft auf einen Versuch hin, Antworten an eine vom Angreifer kontrollierte Inbox umzuleiten.
  • Aktion (quarantäniert/zugestellt): Wesentlich, um zu verstehen, ob eine Bedrohung abgefangen wurde oder den Empfänger erreicht hat.
  • Betreff: Zur Identifizierung von Phishing-Kampagnen, die bei mehreren Zielen identische oder fast identische Betreffzeilen verwenden.
  • Empfängeradresse: Kritisch zur Bestimmung des Umfangs eines Angriffs. Zeigt, wie viele Benutzer angegriffen wurden und ob hochrangige Personen (Führungskräfte, Finanzen) darunter waren.
  • Nutzlast (Anhänge/URLs): Verengt die Suche auf E-Mails, die die häufigsten Malware-Zustellmechanismen tragen.

Wenn wir im linken Menü zu „Sicherheitsoperationen" gehen, erreichen wir den Abschnitt „Scans". Von diesem Bildschirm aus können wir auf Details zu den Scans zugreifen. Alle Scans sind hier aufgelistet, und wir können auch die resultierenden Kategorisierungen wie sauber, Spam und bösartig sehen.

Wenn wir die Details einer E-Mail öffnen, können wir sehen, wie das System sie bewertet hat und was ihr aktueller Status ist. Wir können ihren Status auch ändern in:

  • Urteil genehmigen (Verarbeiten): Das aktuelle Urteil akzeptieren und die E-Mail entsprechend verarbeiten.
  • E-Mail als eingeschränkt markieren: Die E-Mail als eingeschränkt oder gegen die Richtlinie verstoßend klassifizieren.
  • E-Mail als Spam markieren: Die E-Mail als unerwünscht oder unangefordert klassifizieren.
  • E-Mail als verdächtig markieren: Die E-Mail als potenziell riskant markieren und Vorsicht gebieten.
  • E-Mail als sauber markieren (FP): Die E-Mail als sicher markieren und darauf hinweisen, dass es sich um ein falsch-positives Ergebnis handelte.

Die Ansicht unten ist die kompakte Ansicht. Wenn wir oben rechts auf den Reiter „Detailliert" klicken, können wir viele zusätzliche Details sehen.

In der kompakten Ansicht können wir die Scan-Details einer bösartigen Phishing-E-Mail sehen, die von Acronis in Quarantäne gestellt wurde. Sie enthält einen von KI generierten Überblick, der erklärt, warum die E-Mail als bösartig gilt, und Indikatoren wie eine verdächtige Absenderdomain, E-Mail-Bombing-Verhalten und eine riskante URL zeigt. Im Abschnitt „Details" können wir den Kanal, die durchgeführte Aktion, die Scan-Zeit, die Verarbeitungszeit, die Organisation und den IR-Status überprüfen.

Im E-Mail-Inspektor können wir die Nachricht元daten überprüfen, einschließlich Betreff, Absender, Empfänger, Zeit, Rückweg und Quell-IP. Der E-Mail-Inhalt wird ebenfalls angezeigt, sodass wir den Social-Engineering-Versuch direkt bewerten können.

Die Kriterien für die Vorfallbewertung sind klar und transparent. Für einen Vorfall können wir auch auf die Schaltfläche „Untersuchung anfordern" klicken, „Ich denke, diese E-Mail ist sauber" auswählen und sie zur Überprüfung an das Acronis-Team senden. Wir können vorherige Scans in Bezug auf dieselbe E-Mail anzeigen.

Mit der Schaltfläche „Screenshots" können wir die gerenderte Version der E-Mail sehen, was eine sehr nützliche Funktion ist. Bemerkenswerterweise rendert das System die E-Mail nicht als HTML im Browser, sodass eine unentdeckte Schwachstelle in der E-Mail während der Überprüfung keinen Verstoß auslösen kann.

Alle Benutzeraktionen können protokolliert werden, und wir können diese Aufzeichnungen im linken Menü im Audit-Log anzeigen. Einige dieser Aufzeichnungen sind:

  • Scan-Screenshots ansehen
  • Scan verarbeiten
  • UI-Aktion

Jedes Protokoll erfasst den Zeitstempel, die Aktion, die Beschreibung, den Administrator oder das Team, die Zielorganisation und die betreffende E-Mail oder das Zielobjekt.

Im Menü „Erkennungseinrichtung" links können wir Zulassungs- und Sperrlisten im Detail verwalten, was eine äußerst nützliche Funktion ist:

  • Absender-E-Mail-Adresse/Domain-Zulassungsliste: E-Mails von Adressen oder Domains auf dieser Liste werden immer als vertrauenswürdig eingestuft und umgehen Spam-/Bedrohungsfilter. Dies kann nützlich sein, um bekannte Partner oder interne Systeme auf die Whitelist zu setzen, die andernfalls falsch-positive Ergebnisse auslösen könnten.
  • Empfänger-E-Mail-Adresse-Zulassungsliste: Gibt interne Empfängeradressen an, die alle eingehenden E-Mails ohne Filterung erhalten sollen. Dies stellt sicher, dass bestimmte Benutzer (z. B. eine Catch-All-Inbox) immer E-Mails erhalten, auch von unbekannten Absendern.
  • Absender-E-Mail-Adresse/Domain-Sperrliste: E-Mails von Adressen oder Domains auf dieser Liste werden automatisch abgelehnt oder in Quarantäne gestellt. Sie kann verwendet werden, um bekannte Spam-Quellen, bösartige Domains oder unerwünschte Bulk-Absender dauerhaft zu blockieren.
  • Absender-IP-Zulassungsliste: Mailserver mit IPs auf dieser Liste gelten als vertrauenswürdig, und ihre E-Mails umgehen IP-basierte Reputationprüfungen. Kann für vertrauenswürdige Drittanbieter-Maildienste oder On-Premise-Mail-Relais verwendet werden.
  • Absender-IP-Sperrliste: Verbindungen von diesen IPs werden blockiert, unabhängig von der Absenderadresse. Dies kann wirksam gegen bekannte bösartige Mailserver oder kompromittierte Infrastrukturen sein.
  • URL-Zulassungsliste: Links, die diesen URLs oder Domains in E-Mail-Inhalten entsprechen, gelten als sicher und werden nicht markiert.
  • URL-Sperrliste: E-Mails, die diese URLs enthalten, werden markiert, blockiert oder in Quarantäne gestellt.
  • Hash-Zulassungsliste: Dateianhänge, die diesen kryptografischen Hashes entsprechen, werden als sicher behandelt und passieren ohne Scan-Warnungen.
  • Hash-Sperrliste: Anhänge, deren Hash einem Eintrag in dieser Liste entspricht, werden sofort blockiert. Dies bietet eine präzise, signaturbasierte Blockierung bekannter bösartiger Dateien, selbst wenn sie umbenannt oder getarnt sind.

Einige der erwähnenswerten Funktionen, die wir jedoch nicht speziell getestet haben, sind:

Unter Erkennungseinrichtung:

  • Bedrohungsintelligenz: Bezieht Indikatoren aus externen Bedrohungsintelligenzquellen. Diese Funktion hilft, weit verbreitete Kommerz-Malware, bösartige URLs und aktive Angriffskampagnen abzufangen.
  • Banner: Fügt eingehenden E-Mails basierend auf Richtlinien und Regeln anpassbare Banner hinzu.
  • VIP-Benutzer: Ermöglicht Administratoren, eine Liste von hochrangigen Benutzern (Führungskräfte, Finanzmitarbeiter usw.) zu pflegen.

Unter Sicherheitsoperationen:

Account-Übernahme (ATO): Erkennt kompromittierte Microsoft 365-Postfächer. Die Funktion ist darauf ausgelegt, Angreifer abzufangen, die gehackte Konten für Betrug, internes Phishing und Datenexfiltration nutzen.

Die Engine markiert verdächtige Postfachregeln (Weiterleiten, Umleiten, Verschieben oder Löschen von E-Mails), Anmeldungen mit unmöglicher Reise und Anmeldungen von unbekannten Standorten oder Geräten. Wenn eines dieser Signale erkannt wird, wird ein Fall in der Konsole geöffnet, und das Incident-Response-Team wendet sich an den Administrator, um gemeinsam zu untersuchen.

Sophos Email Security detaillierte Analyse

Um mit Sophos zu beginnen, erstellen wir einen Testlink und werden auf den folgenden Bildschirm weitergeleitet. Ähnlich wie bei Barracuda bittet Sophos uns, eine Region auszuwählen.

Danach fragt das System, welches Produkt wir installieren möchten. Wir wählen E-Mail-Sicherheit. Andere Produkte, die eingerichtet werden können, sind Endpoint Protection, Server Protection, Phish Threat, DNS Protection, Zero Trust Network Access, Protected Browser, Mobile, Wireless, Device Encryption, Firewall Management, Cloud Optix und Switches.

Wir werden 100 E-Mails senden, und das Bild unten zeigt das Dashboard. Es enthält Statistiken wie die Gesamtzahl der gescannten eingehenden E-Mails, potenzielle Bedrohungen und erkannte Bedrohungstypen. Es gibt auch Statistiken für ausgehende E-Mails, aber wir testen in diesem Benchmark keine ausgehende E-Mail-Sicherheit.

Wir können auch andere Dashboard-Elemente wie E-Mail-Aktivitätstrends, Bedrohungszusammenfassungen und Sicherheitsstatusindikatoren sehen.

Wir haben auf „E-Mail-Gateway-Einstellungen einrichten" geklickt. Das System bittet uns, unsere Domain zu verifizieren. Dann beobachten wir eine nützliche Einstellung, bei der wir nur eingehend oder sowohl eingehend als auch ausgehend wählen können. Es überprüft auch ausgehende E-Mails, um Sicherheitsprobleme zu verhindern.

Das System zeigt den DNS-Eintrag an, den wir eingeben müssen. Wir fügen ihn dann hinzu und fahren fort.

Wir fügen den TXT-Eintrag zum öffentlichen DNS der Domain hinzu. Der TXT-Wert ist ein Sophos-Domain-Verifizierungstoken, und die TTL ist auf 600 gesetzt. Nach dem Hinzufügen des DNS-Eintrags warten wir auf die Propagierung und klicken dann auf „Verifizieren", damit Sophos bestätigen kann, dass wir die Domain besitzen.

Wir haben den Eintrag hinzugefügt und unsere Domain verifiziert. Für das eingehende Ziel haben wir MX ausgewählt und den Google Workspace MX-Eintrag eingegeben: aspmx.l.google.com.

Wie Barracuda erfordert Sophos MX-Routing. Im Gegensatz zu Sophos und Barracuda hat Acronis diesen Prozess sauber über eine API bewältigt, und wir mussten keine Einstellungen ändern. Solche MX- oder ähnlichen Konfigurationsänderungen können für Systemadministratoren Probleme verursachen. Für Testzwecke fahren wir jedoch mit dem nächsten Schritt fort.

Wir haben die MX-Einstellungen abgeschlossen und eine Test-E-Mail gesendet, aber sie ging nicht durch. Nach einiger Untersuchung sahen wir, dass der Fehler war: „Diese E-Mail-Adresse wurde nicht gefunden", was unerwartet war.

Wir müssen ins Panel gehen, den Abschnitt „Postfächer" im linken Menü öffnen und Benutzer einzeln manuell hinzufügen. Dies ist ein Usability-Problem, das die Gesamterfahrung beeinträchtigt, da sowohl Acronis als auch Barracuda sofort funktionierten. Für den Test haben wir nur unsere eigene E-Mail-Adresse hinzugefügt und das Testen über dieses Konto fortgesetzt.

Der Abschnitt „Berichte" befindet sich im linken Menü. Hier sind einige der Berichte, die wir erstellen können:

  • Nachrichtenzusammenfassung: Gesamtvolumen und Status der E-Mails.
  • SophosLabs-Analysebericht: Vom Benutzer/Admin gemeldete Nachrichtenurteile.
  • Intelix-Bedrohungszusammenfassung: Bedrohungsanalyse für eingehende E-Mails.
  • Zeitpunkt des Klicks Zusammenfassung: Bericht über Link-Klick-Aktivitäten.
  • Gefährdete Benutzer: Am stärksten gefährdete Mitarbeiter.
  • Datenkontrollzusammenfassung: Übereinstimmungen mit Datenschutzrichtlinien.
  • Nachzustellungs-Zusammenfassung: Nach der Zustellung entfernte E-Mails.
  • Lizenznutzungszusammenfassung: Nutzung der E-Mail-Sicherheitslizenz.

Wenn wir zu E-Mail-Sicherheit > Nachrichtenverlauf gehen, können wir alle eingehenden E-Mails sehen und wie jede einzelne klassifiziert wurde. Dieser Nachrichtenverlauf-Bericht listet einzelne E-Mails auf, die von Sophos Email Security verarbeitet wurden. Einige wichtige Felder sind:

  • Absender: Von wem die E-Mail zu stammen schien.
  • Empfänger: Wer die Nachricht erhalten hat.
  • Typ: Wie die E-Mail in das System gelangt ist, normalerweise Gateway.
  • Betreff: Die E-Mail-Betreffzeile.
  • Letzter Status: Was Sophos damit gemacht hat, z. B. Zugestellt, Gelöscht oder In Quarantäne.
  • Datum: Wann die E-Mail verarbeitet wurde.
  • Kategorie: Sophos' Klassifizierung, z. B. Legitim, Spam, Malware, Intelix-Bedrohung oder Authentifizierung.

Einige Beispiele aus den Kategorien sind:

  • Legitim: Normale E-Mails, die durchgelassen wurden.
  • Spam: Verdächtige oder unerwünschte E-Mails; viele werden in Quarantäne gestellt.
  • Malware: Gefährliche E-Mails mit bösartigem Inhalt; diese werden gelöscht.
  • Intelix-Bedrohung: Von Sophos Intelix analysierte E-Mails, die als verdächtig oder bedrohlich befunden wurden.
  • In Quarantäne: Die E-Mail wurde blockiert und zur Überprüfung in Quarantäne gestellt.
  • Gelöscht: Die E-Mail wurde entfernt statt zugestellt.

Die folgenden Filter ermöglichen es Benutzern, das E-Mail-Log nach Nachrichtenkategorie einzugrenzen:

  • Legitim: Normale erlaubte E-Mails.
  • Sichere Nachricht: Verschlüsselte oder geschützte E-Mails.
  • Datenkontrolle: E-Mails, die Datenschutz-/Sicherheitsregeln entsprechen.
  • Authentifizierungsfehler: Fehlgeschlagene SPF-, DKIM- oder DMARC-Prüfungen.
  • Imitation: Mögliche Absenderfälschung oder Identitätsbetrug.
  • Bulk: Massenmarketing oder automatisierte E-Mails.
  • Spam: Unerwünschte oder verdächtige E-Mails.
  • URL/QR-Code: E-Mails mit riskanten Links oder QR-Codes.
  • Intelix-Bedrohung: Von Sophos-Bedrohungsanalyse markierte E-Mails.
  • Nicht scannbar: E-Mails, die Sophos nicht vollständig inspizieren konnte.
  • Malware: E-Mails mit bösartigen Dateien oder Inhalten.
  • Unternehmen blockiert: Von der Unternehmensrichtlinie blockierte E-Mails.

Das Menü „Postfächer" zeigt die überwachten Postfächer an. Durch Öffnen eines Postfachs können wir auswählen, welche Richtlinien angewendet werden sollen. Unter Basisrichtlinie – E-Mail-Sicherheit sind folgende Einstellungen verfügbar:

Authentifizierung umfasst E-Mail-Authentifizierungsprüfungen für eingehende Nachrichten. Wir können konfigurieren, wie Sophos mit DMARC-, SPF- und DKIM-Fehlern umgeht, einschließlich Aktionen wie der Einhaltung der Absenderrichtlinie oder dem Markieren der Betreffzeile mit einer Warnung.

Es umfasst auch Absenderprüfungen auf Header-Anomalien und Domain-Anomalien, die dabei helfen, E-Mails zu erkennen, die scheinbar von Ihrer eigenen Domain oder von verdächtigen Domains ohne ordnungsgemäße DNS-Einträge stammen. Wir können auch Endbenutzer-Banner aktivieren, um Empfängern das Vertrauensniveau eingehender Nachrichten zu zeigen und uns bei der Entscheidung zu helfen, Absender zuzulassen oder zu blockieren.

Anti-Malware verwaltet die eingehende Anti-Malware-Scan für E-Mail-Nachrichten. Wir können die Standardaktion für Malware-Erkennungen wählen, z. B. Löschen, und die erweiterte Malware-Scan für tiefere Inhalts- und Dateianalyse aktivieren.

Es ermöglicht auch die Kontrolle über nicht gescannte E-Mails und die Intelix-Bedrohungsanalyse, bei der Sophos statische und dynamische Analysen verwenden kann, um verdächtige Nachrichten zu klassifizieren. Basierend auf dem Urteil können wir Aktionen definieren, wie z. B. das Löschen, Zustellen oder unterschiedliche Behandeln von bösartigen und verdächtigen E-Mails.

Anti-Spam verwaltet, wie Sophos mit Spam und Bulk-E-Mails umgeht. Wir können Aktionen für Kategorien wie Bestätigter Spam und Bulk festlegen, einschließlich der Quarantäne von Nachrichten und der Entscheidung, ob sie in der Endbenutzer-Quarantäne erscheinen sollen.

Es enthält auch einen anpassbaren Spam-Erkennungs-Slider, bei dem höhere Stufen die Aggressivität der Spam-Erkennung erhöhen.

Neue Domain/Absender umfasst Schutz für neu registrierte Domains und neue Absender. Wir können Prüfungen für E-Mails aktivieren, die von kürzlich erstellten Domains gesendet werden, die oft in Phishing-Kampagnen verwendet werden.

Es ermöglicht auch die Anzeige eines „Neuer Absender"-Banners, wenn ein Empfänger zuvor keine E-Mails von diesem Absender erhalten hat.

Das Herkunftsland ermöglicht die Steuerung von E-Mails basierend auf dem Land des Absenders. Bestimmte Länder können aus einer Liste ausgewählt werden, und übereinstimmende E-Mails können entsprechend der Richtlinie in Quarantäne gestellt oder anderweitig behandelt werden.

Es gibt auch eine Option, jeden Nachrichtenhop zu überprüfen, was hilft, die Route zu inspizieren, die eine E-Mail genommen hat, bevor sie den Empfänger erreicht.

Sprache verwaltet die Filterung nach Nachrichtensprache. Wir können bestimmte Sprachen auswählen, die wir nicht zulassen möchten, und die Aktion wählen, die Sophos ergreifen soll, z. B. das In-Quarantäne-Stellen übereinstimmender Nachrichten.

Die Imitationsschutzfunktion ermöglicht Prüfungen auf VIP-, Marken- und allgemeine Imitationsversuche.

Für URL- und QR-Code-Schutz können wir E-Mails auf bösartige URLs und QR-Codes überprüfen. Sophos kann Links scannen und URLs aus QR-Codes extrahieren, um Bedrohungen zu erkennen, bevor Benutzer mit ihnen interagieren.

Es verwaltet auch den „Time of Click"-URL-Schutz, bei dem Links umgeschrieben und überprüft werden, wenn der Benutzer auf sie klickt.

Im linken Menü zeigt der Abschnitt „In Quarantäne gestellte Nachrichten" alle E-Mails an, bei denen eine Bedrohung erkannt wurde. Wir können filtern nach:

  • Anti-Malware: E-Mails, die während des Malware-Scans markiert wurden. Dazu gehören Nachrichten mit gefährlichen Anhängen, bösartigem Inhalt oder Elementen, die Sophos nicht vollständig inspizieren konnte:
    • Malware: E-Mails, die nachweislich bösartige Dateien, Links oder Inhalte enthalten. Diese werden normalerweise gelöscht oder in Quarantäne gestellt.
    • Nicht scannbar: E-Mails, die Sophos nicht ordnungsgemäß inspizieren konnte, z. B. aufgrund von Verschlüsselung, Beschädigung, passwortgeschützten Anhängen oder nicht unterstützten Dateitypen.
  • Anti-Spam: E-Mails, die durch Spam-Erkennungsregeln klassifiziert wurden:
    • Bulk: Massengesendete E-Mails wie Newsletter, Marketingkampagnen oder automatisierte Benachrichtigungen.
    • Bestätigter Spam: E-Mails, die mit Zuversicht als Spam identifiziert wurden. Diese werden typischerweise in Quarantäne gestellt oder blockiert.
    • Verdächtiger Spam: E-Mails, die verdächtig aussehen, aber nicht als Spam bestätigt wurden. Je nach Richtlinie können sie in Quarantäne gestellt, markiert oder zugestellt werden.
    • Imitation: E-Mails, die möglicherweise von einer vertrauenswürdigen Person, Marke, Domain oder einem internen Absender zu stammen vorgeben.
    • Nicht erlaubtes Land: E-Mails, die blockiert oder in Quarantäne gestellt wurden, weil sie aus einem durch die Richtlinie eingeschränkten Land stammen.
    • Nicht erlaubte Sprache: E-Mails, die blockiert oder in Quarantäne gestellt wurden, weil ihre erkannte Sprache von der Richtlinie nicht erlaubt ist.
    • BATV: E-Mails im Zusammenhang mit der Bounce-Address-Tag-Validierung, die zur Erkennung gefälschter Bounce-Nachrichten oder Backscatter-Spam verwendet wird.
    • Neue Domain/NRD: E-Mails von neu registrierten Domains, die oft in Phishing- oder kurzlebigen Angriffskampagnen verwendet werden.
  • Authentifizierung: E-Mails, die basierend auf Absender-Authentifizierungsprüfungen wie SPF-, DKIM- oder DMARC-Fehlern gefiltert wurden.

Wenn wir auf eine E-Mail klicken, können wir die Nachrichten sehen, die erklären, warum sie in Quarantäne gestellt wurde. Wir können sie löschen und den Absender blockieren, die Nachricht aus der Quarantäne freigeben oder sie freigeben und ähnliche Nachrichten in Zukunft zulassen.

Im Abschnitt „Rohheader" können wir alle Header-Informationen für die E-Mail anzeigen. Wir können auch ihre Anhänge und die in der Nachricht enthaltenen URLs anzeigen. Dies erschien in unserer Bewertung nicht ausreichend detailliert. Acronis und Barracuda boten diesbezüglich ein umfassenderes und informativeres Erlebnis.

Im Reiter „Nachricht" können wir den E-Mail-Inhalt so anzeigen, wie er ist, was unsicher sein kann. Es wäre besser, wenn wir den E-Mail-Inhalt als Screenshot sehen könnten, wie wir es bei Acronis beobachtet haben.

Es gibt hier nur 23 E-Mails, da diese als Spam markiert wurden, während einige andere direkt abgelehnt wurden. Kurz gesagt, das System stellt E-Mails, die als Spam markiert sind, in Quarantäne.

Wenn wir alle eingehenden E-Mails exportieren möchten, können wir dies nicht direkt aus den Berichtsbildschirmen tun. Wir müssen einen benutzerdefinierten Bericht aus E-Mail-Protokollen erstellen, ihn dann öffnen, „Bericht generieren" auswählen, CSV wählen und schließlich alles als CSV exportieren. Dieser Workflow fühlt sich unnötig indirekt und nicht benutzerfreundlich an.

Barracuda Email Protection detaillierte Analyse

Nachdem wir eine Testversion von Barracuda erhalten hatten, navigierten wir zum Panel, klickten auf „Für E-Mail-Schutz öffnen" und fuhren fort.

Unter „Verfügbar in Ihrer Testversion" können wir die enthaltenen Hauptprodukte sehen:

  • E-Mail-Schutz: Verhindert E-Mail-Bedrohungen, sichert E-Mails vor und nach der Zustellung und automatisiert die E-Mail-Incident-Reaktion.
  • Cloud-zu-Cloud-Backup: Sichert Microsoft 365-Daten.
  • Dateninspektor: Findet sensible Daten und unentdeckte Malware in OneDrive und SharePoint.
  • Sicherheitsbewusstseinstraining: Schult Mitarbeiter zu E-Mail-Sicherheitsbedrohungen.
  • Cloud-Archivierungsdienst: Erzwingt E-Mail-Aufbewahrung für Compliance und e-Discovery.

Da wir noch keine Domains oder verwandten Einstellungen konfiguriert hatten, führte uns das System direkt zum Einrichtungswizard, was eine hilfreiche Funktion zur Konfiguration von E-Mail-Einstellungen ist.

Als wir auf „Weiter" klickten, zwang uns das System, ein Microsoft 365-Konto zu verbinden. Wir verwenden jedoch Google Workspace und bewerten den Dienst für diese Umgebung.

Später stellten wir fest, dass Barracuda Google Workspace unterstützt. Wir fuhren mit der Standardeinrichtung fort.

Das System bat uns, eine Datenregion auszuwählen. Dies ist eine wichtige Funktion für die GDPR-Compliance, also wählten wir Deutschland und fuhren fort.

Barracuda bat uns später, eine E-Mail-Adresse einzugeben, die zu unserer Domain gehört, und unsere MX-Einträge zu verifizieren. Wir klickten nur auf die Verifizierungsschaltfläche und führten keine weiteren Aktionen durch. Das System verifizierte die Einträge erfolgreich.

Während der späteren Phasen unserer Konfiguration stellten wir fest, dass Barracuda keine native Integration mit Google Workspace hatte. Stattdessen gab es uns neue MX-Einträge, um unsere bestehenden zu ersetzen. Wenn wir diese MX-Einträge aktualisieren, scheinen eingehende E-Mails zuerst bei Barracuda anzukommen.

Barracuda filtert dann unangemessene E-Mails und leitet die akzeptablen weiter. Die Anforderung von MX-Eintragsänderungen für die Google Workspace-Integration ist ein schlechter Ansatz.

Danach aktualisierten wir die MX-Einträge und verifizierten sie. Wir schlossen die Einrichtung ab und begannen, E-Mails zu senden.

Während des Sendens der E-Mails stellten wir fest, dass Barracuda einige SMTP-Anfragen ablehnte und einige Anhänge ablehnte. Als wir denselben Test mit Acronis durchführten, wurden alle E-Mails zugestellt und im System sichtbar. Hier lehnt Barracuda einige E-Mails ab, bevor sie im Dashboard erscheinen.

Obwohl sie sie ablehnt, weil sie wirklich bösartig sind, verlieren wir dadurch die Sichtbarkeit. Mit anderen Worten, wir wissen möglicherweise nicht einmal, ob ein Angriff eingetroffen und abgelehnt wurde. Dies ist eine Herausforderung für die Verwendung von Barracuda für E-Mail-Sicherheit, da Sichtbarkeit in Sicherheitskontexten alles ist. Wenn ein Produkt Vorfälle willkürlich ablehnt und unsichtbar macht, schadet dies dem Sicherheitsteam.

Trotz dieser Herausforderungen wurden alle Test-E-Mails gesendet. Im Barracuda-Dashboard werden wir auf den Bildschirm „Nachrichtenprotokoll" weitergeleitet, auf dem alle gescannten E-Mails aufgelistet sind.

Der Abschnitt „Nachrichtenprotokoll" enthält oben einen Filterbereich. Hier sind die Filteroptionen:

  • Suche: Textsuche in Nachrichten, Empfängern, Absendern und anderen Feldern.
  • Domains: Filtert Ergebnisse nach der ausgewählten Domain.
  • Richtung: Filtert nach E-Mail-Richtung; Eingehend oder Ausgehend.
  • Datum/Uhrzeitbereich: Begrenzt Ergebnisse auf ein bestimmtes Zeitfenster.
  • Ergriffene Aktion: Filtert nach der ergriffenen Aktion, z. B. Zugelassen, Blockiert, Zurückgestellt.
  • Zustellungsstatus: Filtert danach, ob die E-Mail zugestellt wurde, fehlgeschlagen ist, in Quarantäne gestellt wurde usw.
  • Grund: Filtert nach dem Erkennungsgrund, der eine Aktion ausgelöst hat (z. B. Score, DMARC, Antivirus, Inhalt geschützt).
  • Ergebnisse: Steuert, wie viele Datensätze pro Seite angezeigt werden.

Wir können melden, dass es falsch klassifiziert wurde. Zum Beispiel ist die folgende E-Mail sicher, wurde aber fälschlicherweise als schädlich klassifiziert. Wir haben die E-Mail als sicher gemeldet.

Die folgende E-Mail ist blockiert, aber das Dashboard bietet keine weiteren Details. Daher bleibt Barracuda in diesem Bereich hinterher. Es wäre nützlicher, wenn wir mehr Informationen darüber sehen könnten, warum die Nachricht blockiert ist, zusätzlich zum Blockierungsscore.

Im Abschnitt „Domains" links können wir die Domains anzeigen, hinzufügen und löschen, die wir in den Mail-Schutz aufnehmen möchten, was Standardfunktionen sind.

Im Menü „Eingehend" links bietet Barracuda die Filter, die für diese Kontrollen verwendet werden. Wir können diese Filter konfigurieren.

Beispielsweise können wir unter Anti-Spam/Antiviren-Einstellungen konfigurieren:

  • Barracuda-Reputationsblockliste verwenden: Überprüft eingehende E-Mails gegen Barracudas Datenbank bekannter bösartiger Absender. Kann auf Block, Quarantäne oder Aus gesetzt werden.
  • E-Mails auf Viren scannen: Aktiviert oder deaktiviert die Virenscan für alle eingehenden E-Mails.
  • Barracuda-Echtzeitsystem verwenden: Verweist E-Mails mit Barracudas Live-Bedrohungsintelligenz-Feed ab. Kann blockiert, in Quarantäne gestellt oder ausgeschaltet werden. Optional wird verdächtiger Inhalt zur weiteren Analyse an Barracuda Central gesendet.
  • Cloudscan aktivieren: Verlagert die Spam-Bewertung auf Barracudas Cloud-Engine. Scores reichen von 1 bis 10; E-Mails, die den Schwellenwert überschreiten, lösen die konfigurierte Aktion aus.
  • E-Mail-Kategorisierung: Klassifiziert eingehende E-Mails nach Typ und wendet eine pro-Kategorie-Aktion an. Kategorien umfassen Unternehmens-E-Mail, Transaktions-E-Mail, Marketingmaterialien und Newsletter, Mailinglisten und soziale Medien, die jeweils unabhängig auf Zulassen, In Quarantäne stellen, Block oder Aus gesetzt werden können.
  • Bulk-E-Mail-Erkennung: Erkennt und reagiert auf Bulk/Massengesendete E-Mails. Wenn es auf Aus gesetzt ist, werden Bulk-E-Mails nicht separat gefiltert.
  • Bulk-E-Mail-Befreiungen: Ermöglicht bestimmten E-Mail-Adressen oder Domains, die Bulk-E-Mail-Erkennung zu umgehen, definiert pro Absender oder Empfänger.

Die Seiten „Rate Limit" definieren, wie viele E-Mails eine Absender-IP-Adresse innerhalb jedes 30-Minuten-Zeitraums senden kann, was eine nützliche Einstellung ist. Es kann E-Mail-Missbrauch und plötzliche Hochvolumenangriffe von einer einzelnen Absender-IP verhindern.

Durch die Begrenzung der Anzahl der E-Mails, die eine IP-Adresse in einem 30-Minuten-Zeitraum senden kann, kann das System die Auswirkungen von reduzieren:

  • Spam-Kampagnen
  • Phishing-Bursts
  • Malware-Verteilung
  • Kompromittierte Absenderkonten oder -server
  • Denial-of-Service-ähnliches E-Mail-Fluten

Auf der Seite „IP-Whitelist/Blacklist" können wir das Scannen für E-Mails von bestimmten IP-Adressen umgehen oder sie direkt blockieren.

In Regionalrichtlinien können wir geografisches Blockieren oder Whitelisting anwenden. Wir können auch E-Mails basierend auf der Inhaltssprache blockieren oder zulassen.

In Empfängerrichtlinien können wir Scan- oder Umgehungsregeln basierend auf der Empfänger-E-Mail-Adresse konfigurieren.

Barracuda bietet auch ähnliche Richtlinien für Absender. Wir können Ausnahmen basierend auf dem Absender anwenden.

Es gibt auch ein Dashboard, auf dem wir Ausnahmen basierend auf Standard-E-Mail-Sicherheitskontrollen wie DMARC, DKIM und SPF definieren können.

In Inhaltsrichtlinien können wir konfigurieren, ob E-Mails basierend auf Dateiname oder Dateityp gescannt oder umgangen werden sollen. Wir können auch Scan- oder Umgehungsregeln basierend auf dem Nachrichteninhaltsinhalt unter Verwendung von regulären Ausdrücken definieren.

Barracuda bietet Advanced Threat Protection als Abonnement zusätzlich zum regulären Virenscanner. Advanced Threat Protection (ATP) ist ein cloudbasierter Scan-Dienst, der E-Mail-Anhänge in einer sicheren Cloud-Umgebung analysiert, um Bedrohungen zu erkennen, die Standardvirenscanner möglicherweise übersehen. Es gilt nur für eingehende Nachrichten und unterstützt die meisten MIME-Dateitypen.

Es gibt drei Modi in ATP:

  1. Zuerst zustellen, dann scannen versucht, den Anhang in Echtzeit zu scannen, wenn die E-Mail eintrifft. Wenn der Scan rechtzeitig abgeschlossen ist und eine Bedrohung erkannt wird, wird die E-Mail blockiert. Wenn der Scan nicht rechtzeitig abgeschlossen ist, wird die E-Mail sofort zugestellt, ohne auf das Ergebnis zu warten. Der Scan läuft im Hintergrund weiter, und wenn später eine Bedrohung gefunden wird, wird der Empfänger benachrichtigt, aber die E-Mail hat bereits ihre Inbox erreicht. Dies bedeutet, dass der Empfänger einen infizierten Anhang öffnen könnte, bevor die Bedrohung identifiziert wird.
  2. Zuerst scannen, dann zustellen scannt den Anhang vor der Zustellung. Wenn eine Bedrohung erkannt wird, wird die E-Mail blockiert. Wenn sauber, wird sie zugestellt. E-Mails, die auf einen Scan warten, erscheinen im Nachrichtenprotokoll mit „Scan ausstehend" als Grund. Wenn eine Nachricht länger als vier Stunden zurückgestellt bleibt, wird sie in Quarantäne gestellt. Dieser Modus ist sicherer, kann jedoch die Zustellung verzögern.
  3. Deaktiviert: ATP ist vollständig ausgeschaltet.

Der wesentliche Kompromiss hier ist zwischen Geschwindigkeit und Sicherheit. „Zuerst zustellen" priorisiert die Zustellungsgeschwindigkeit, führt aber ein Risikofenster ein. „Zuerst scannen" eliminiert dieses Risiko, kann jedoch E-Mails mit Anhängen verzögern oder zurückstellen.

Im Abschnitt „Berichte" erstellt Barracuda detaillierte Berichte zur E-Mail-Sicherheit:

  • Zusammenfassung des eingehenden/ausgehenden Verkehrs: Überblick über alle eingehenden und ausgehenden E-Mail-Aktivitäten, aufgeschlüsselt nach zurückgestellt, blockiert, in Quarantäne gestellt und zugelassen.
  • Aufschlüsselung der blockierten eingehenden E-Mails: Detaillierte Aufschlüsselung, warum eingehende E-Mails blockiert wurden.
  • Top eingehende E-Mail-Absender/Empfänger: Zeigt die häufigsten Absender/Empfänger eingehender E-Mails.
  • Top Aufschlüsselung der blockierten eingehenden Absender: Listet die Absender auf, deren E-Mails am häufigsten blockiert werden, mit Begründung.
  • Top Aufschlüsselung der blockierten eingehenden Empfänger: Zeigt die internen Empfänger, die am häufigsten von blockierten E-Mails angegriffen werden.
  • Top ausgehende E-Mail-Absender: Überblick über die internen Benutzer, die die höchste Menge an ausgehenden E-Mails senden.
  • Top blockierte ausgehende Absender: Zeigt die internen Benutzer, deren ausgehende E-Mails am häufigsten blockiert werden.

Zusätzlich können wir automatisierte Berichte planen, was eine nützliche Funktion ist. Anstatt sich wiederholt einzuloggen, um Dashboards zu überprüfen, können wir regelmäßige Zusammenfassungen von Bedrohungen, in Quarantäne gestellten Nachrichten, Spam-Trends, Malware-Erkennungen, Imitationsversuchen, Richtlinienaktionen und Benutzerrisiken erhalten. Geplante Berichte können Benutzern auch helfen, Muster frühzeitig zu erkennen, wie z. B. einen Anstieg von Phishing-E-Mails, wiederholte Angriffe gegen bestimmte Benutzer oder eine Zunahme blockierter bösartiger Anhänge.

Das Syslog-Menü links ermöglicht es uns, alle diese Aufzeichnungen an einen Log-Server unserer Wahl weiterzuleiten. Dies ist eine nützliche Funktion für SIEM-Integrationen.

Insgesamt bietet das Produkt eine breite Palette von Funktionen, ist jedoch bei der Bedrohungserkennung unterdurchschnittlich. Ein erheblicher Teil der Konfiguration bleibt dem Benutzer überlassen, was die Frage aufwirft, ob der Mehrwert den Aufwand rechtfertigt, insbesondere für Organisationen, die bereits Google Workspace oder Microsoft 365 Compliance Center verwenden.

Hauptmerkmale von Cloud-E-Mail-Sicherheitslösungen

Cloud-E-Mail-Sicherheitslösungen analysieren Benutzerverhalten, erkennen kontextuelle Anomalien, automatisieren Bedrohungsreaktion und -behebung und integrieren sich in das breitere Sicherheitsökosystem. Zu den Hauptmerkmalen gehören:

KI-gestützte Bedrohungserkennung

Cloud-E-Mail-Sicherheitssysteme analysieren Nachrichtenkontext, Absenderverlauf und Absicht, um Phishing-Angriffe und Imitationsversuche zu markieren, die auf den ersten Blick legitim aussehen. Dies umfasst die Identifizierung subtiler Anzeichen wie Domain-Lookalikes oder ungewöhnliche Timing-Muster.

Verhaltenssignale sind genauso wichtig wie Inhalt. Durch die Verfolgung normaler Kommunikationsgewohnheiten können diese Systeme Anomalien erkennen, z. B. wenn ein Finanzmitarbeiter plötzlich dringende Zahlungsanfragen von einem neuen externen Absender erhält. Dieser Ansatz ist besonders wichtig für die Erkennung von Business Email Compromise (BEC), bei dem es keine Malware zum Scannen und keine offensichtlichen Warnsignale gibt.

Multi-Layer-Schutzarchitektur

Cloud-E-Mail-Sicherheitsplattformen kombinieren mehrere Inspektionsschichten, um Bedrohungen abzufangen, die an einer Kontrolle vorbeigleiten.

  • Statische Analyse prüft bekannte Indikatoren, während dynamisches Sandboxing beobachtet, wie Anhänge in einer kontrollierten Umgebung verhalten.
  • URL-Inspektion spielt ebenfalls eine Schlüsselrolle, insbesondere für die Identifizierung bösartiger Links, die erst nach der Zustellung aktiviert werden.
  • Authentifizierungsprotokolle wie SPF, DKIM und DMARC helfen, die Absenderidentität zu validieren und das Risiko von Spoofing zu reduzieren.

Zusammen ergeben diese Schichten ein System, bei dem jede Komponente die Einschränkungen der anderen ausgleicht.

Schutz vor aufkommenden Bedrohungen

Angreifer verlassen sich zunehmend auf Täuschung statt auf technische Exploits. Social-Engineering-Taktiken sind darauf ausgelegt, Benutzer unter Druck zu setzen, schnelle Entscheidungen zu treffen, oft durch Imitation von Führungskräften oder vertrauenswürdigen Anbietern.

Dazu gehören gezielte Kampagnen wie Spear-Phishing, bei denen Nachrichten auf eine bestimmte Person oder Rolle zugeschnitten sind. Fortgeschrittenere Szenarien beinhalten Deepfake-Stimmen oder Versuche von Rechnungs-Betrug.

Diese fortgeschrittenen Bedrohungen verlassen sich nicht auf bösartige Dateien. Stattdessen nutzen sie Vertrauen aus, was die Erkennung abhängig von Kontext und Absicht statt von Signaturen macht.

Echtzeiterkennung & automatisierte Reaktion

Sobald eine bösartige Nachricht eine Inbox erreicht, ist das Zeitfenster für Schäden begrenzt. Sicherheitssysteme analysieren E-Mails, wenn sie eintreffen, und handeln sofort, wenn eine Bedrohung bestätigt wird.

Automatisierung reduziert die Belastung von Sicherheitsteams, indem schädliche Nachrichten in allen betroffenen Postfächern entfernt werden, auch nach der Zustellung. Dies begrenzt die Ausbreitung von Angriffen, die auf interne Weiterleitung oder Antwortketten angewiesen sind.

Reaktionsworkflows können auch breitere Aktionen auslösen, wie z. B. das Isolieren von Konten oder das Aktualisieren von Erkennungsregeln basierend auf neuen Erkenntnissen.

Kontinuierliche Überwachung & Schutz nach der Zustellung

Die initiale Filterung fängt nicht alles ab. Angriffstechniken entwickeln sich weiter, und einige Bedrohungen werden erst erkannt, wenn neue Indikatoren auftauchen.

  • Kontinuierliche Überwachung ermöglicht es Systemen, zugestellte Nachrichten erneut zu überprüfen und neu identifizierte Bedrohungen zu entfernen. Dies ist kritisch für Angriffe, die verzögerte Nutzlasten oder gestaffelte Zustellung verwenden.
  • Die Behebung nach der Zustellung stellt sicher, dass zuvor übersehene E-Mails nicht in Inboxes verbleiben, sobald sie als bösartig klassifiziert wurden.

E-Mail-Kontinuität & Resilienz

Sicherheit geht nicht nur um das Blockieren von Bedrohungen. Verfügbarkeit ist genauso wichtig. Wenn der E-Mail-Zugriff unterbrochen wird, können Geschäftsvorgänge ins Stocken geraten.

Cloud-basierte Kontinuitätsfunktionen bieten Backup-Zugriff während Ausfällen und unterstützen die schnelle Wiederherstellung von Nachrichten und Konten. Dies stellt sicher, dass Geschäftse-M-Mails auch während Dienstunterbrechungen oder Angriffen verfügbar bleiben.

Entdecken Sie weitere unserer Benchmarks und datengestützten Erkenntnisse in der Google-Suche.
GoogleAls bevorzugte Quelle hinzufügen

Unterscheidende Fähigkeiten von Cloud-E-Mail-Sicherheitsplattformen

Benutzerfokussierte Sicherheit (menschliche Ebene)

Viele Vorfälle beginnen mit einer Benutzeraktion. Deshalb enthalten moderne E-Mail-Sicherheitsplattformen Tools, die das Verhalten lenken, anstatt sich nur auf Filterung zu verlassen.

  • Kontextbezogene Warnbanner können Benutzer warnen, wenn eine Nachricht verdächtig erscheint.
  • Training wird auch adaptiver. Anstatt generischer Simulationen erhalten Benutzer Anleitung, die auf ihre Interaktionsmuster zugeschnitten ist.

Vereinheitlichte Sicherheit & Plattformintegration

E-Mail existiert nicht isoliert. Es ist Teil einer breiteren Umgebung, die Endpunkte, Identitäten und Anwendungen umfasst. Die Integration mit Endpunkt- und Identitätssystemen ermöglicht koordinierte Reaktionen. Wenn beispielsweise eine E-Mail zu Credential-Diebstahl führt, kann das System Aktionen über die Inbox hinaus auslösen.

Zentralisierte Dashboards geben Teams einen klareren Überblick über ihre allgemeine Sicherheitslage und reduzieren Missverständnisse zwischen Tools.

Datenschutz, Verschlüsselung & Compliance

E-Mail trägt oft Verträge, Finanzdaten und andere sensible Informationen. Der Schutz dieser Informationen erfordert mehr als nur Bedrohungserkennung.

  • Verschlüsselung stellt sicher, dass Nachrichten während der Übertragung und im Ruhezustand privat bleiben. Datenschutzrichtlinien helfen, unbefugtes Teilen zu verhindern, sei es versehentlich oder absichtlich.
  • Compliance-Funktionen unterstützen regulatorische Anforderungen, einschließlich Audit-Trails und Aufbewahrungsrichtlinien. Dies ist besonders relevant für Organisationen, die grenzüberschreitend tätig sind und Daten behandeln, die strengen gesetzlichen oder branchenspezifischen Regeln unterliegen.

Benchmark-Methodik für Cloud-E-Mail-Sicherheit

Wir haben drei E-Mail-Sicherheitsprodukte getestet: Acronis Advanced Email Security (betrieben von Perception Point), Sophos Email Security und Barracuda Email Protection.

Der Benchmark umfasste 100 End-to-End-Tests und folgte vier Prinzipien.

  1. Coverage-getrieben: Jeder Test bildet eine Fähigkeit ab, die der Anbieter öffentlich als bereitgestellt beansprucht.
  2. Schwierigkeits-gewichtet: Das Verpassen eines einfachen 1/10-Tests signalisiert eine ernsthafte Produktlücke. Das Verpassen eines 9/10-Tests ist verständlicher, da diese Fälle Experten-Niveau-Erkennungsprobleme widerspiegeln. Die Bewertungsmethode trennt diese Fälle, anstatt alle Verfehlungen gleich zu behandeln.
  3. Reproduzierbar: Der Benchmark wird mit einer eigenständigen PHP-Testumgebung ausgeführt und von einer separaten Verifizierungssuite überprüft. Bevor eine Test-E-Mail gesendet wird, führt der Verifizierer mehr als 1.800 Prüfungen durch, um zu bestätigen, dass die Test-Nutzlasten vollständig, gültig und korrekt konfiguriert sind.
  4. Ethisch: Malware-Tests verwenden den EICAR-Antivirus-Teststring. Phishing-URLs zeigen auf inerte oder nicht existente Canary-Infrastruktur. Alle Testpostfächer gehören dem Testteam.

Wir wählten Tests so aus, dass die öffentlichen Ansprüche jedes Anbieters mindestens einmal geprüft wurden. Die Priorität lag darauf, Bedrohungen zu testen, die alle drei Anbieter als erkannt beanspruchen, was den direkten Vergleich fair hält. Wir schlossen auch eine kleinere Anzahl anbieter-spezifischer Fälle ein, wo sie relevant waren. Zum Beispiel ist Gesprächs-Hijacking eine Kernansage von Barracuda, QR-Code-Phishing-Erkennung wird explizit von Acronis Advanced Email Security beansprucht, und Deepfake-ähnliche GenAI-Lures werden am häufigsten von KI-first-Anbietern beworben.

Der Benchmark ist in elf Kategorien unterteilt. Jede Kategorie testet einen anderen Erkennungsmechanismus. Testzahlen sind in Klammern angegeben, insgesamt 100 Tests.

Kategorie A: Spam (9 Tests)

Diese Kategorie umfasst Bulk-Pharmazeutika-Werbung, Kryptowährung-Pump-and-Dump-E-Mails, Lotterie-Betrug, Payday-Kredite, Dating-Plattform-Eröffner und B2B SEO-Kaltakquise.

Die meisten Tests in dieser Kategorie sind absichtlich einfach. Zwei Tests, Graymail-Marketing und B2B-Kaltakquise, liegen näher an der falsch-positiven Grenze, da aggressive Filterung legitime Geschäftse-Mails blockieren kann.

Kategorie B: Bekannte Malware unter Verwendung des EICAR-Teststrings (9 Tests)

Diese Kategorie testet EICAR-Zustellung über gängige und verschachtelte Anhangsformate:

  • Einfache .txt-Anhang,
  • Reguläres ZIP,
  • Passwortgeschütztes ZIP mit dem Passwort im E-Mail-Inhalt,
  • ZIP, das in einem anderen ZIP verschachtelt ist,
  • EICAR mit .exe-Erweiterung, um die Behandlung von Erweiterungs- und Inhaltsinkonsistenzen zu testen,
  • .tar.gz, dreistufiges rekursives Archiv,
  • Einzeldatei .gz ohne tar-Wrapper,
  • EICAR mit vier Kilobyte vorangestelltem Müll, um die Offset-Toleranz zu testen.

Diese Tests üben Archiv-Entpacken, Formatunterstützung und Passwortextraktion aus dem E-Mail-Inhalt aus. Dies sind Basiskapazitäten für moderne E-Mail-Gateways.

Kategorie C: Trägerdateitypen (10 Tests)

Diese Kategorie testet Dateiformate, die häufig verwendet werden, um bösartiges Verhalten zu tragen oder auszulösen. Der Satz umfasst:

  • PDF mit eingebettetem JavaScript und einem OpenAction-Trigger,
  • HTML-Smuggling unter Verwendung von URL.createObjectURL auf einem Base64-kodierten Blob,
  • SVG mit einem onload-Skript und remote XHR,
  • Windows .lnk-Verknüpfung mit einem PowerShell-Nutzlast im Argumentblock,
  • PDF/ZIP-Polyglott-Datei,
  • HTML-Anwendung .hta mit VBScript,
  • Windows Script Host JavaScript-Dropper unter Verwendung von XMLHTTP und ADODB.Stream,
  • ISO 9660-Image, das EICAR enthält,
  • Internet-Verknüpfung .url-Datei,
  • Excel-Internet-Abfrage .iqy-Datei.

Dies ist eine der diskriminierendsten Kategorien, da Produktergebnisse bei diesen Trägerdateitypen stark variieren.

Kategorie D: URL-Phishing (10 Tests)

Diese Kategorie misst die URL-Analyse bei direkten Links, Umleitungen, Verschleierung und Nicht-Textkörper-Standorten. Sie umfasst:

  • Direkte Phishing-URL auf einer verdächtigen TLD,
  • Bitly-verkürztes Ziel,
  • Mehrfach-Hop-Umleitungskette durch Google's offenen Umleiter und t.co,
  • Punycode-IDN-Homoglyph mit kyrillischem „а" in раypal.com,
  • HTML-versteckte URL unter Verwendung von Nullbreitenzeichen und einpixeligem weißem Text,
  • URL nur innerhalb einer PDF-Annotation vorhanden,
  • URI, der Base64-kodiertes HTML mit einem Phishing-Link trägt,
  • Extrem lange URL mit dem echten Host, der in der Abfragezeichenfolge verborgen ist,
  • Offener-Umleitungs-Parameter auf einem legitim aussehenden Host,
  • Google AMP-Cache-URL, die das Phishing-Ziel hinter google.com/amp/s/ verbirgt.

Kategorie E: QR-Code-Phishing (8 Tests)

Diese Kategorie testet, ob Produkte Phishing-URLs extrahieren und inspizieren können, die in QR-Codes versteckt sind. Der Satz umfasst:

  • Inline-PNG-QR-Codes für MFA-Neuregistrierung,
  • DocuSign-Unterzeichnung,
  • Gehaltsabrechnungs-Zugriff,
  • Sendungs-Nachzustellungs-Benachrichtigung
  • Voicemail-Zugriff
  • Bank-2FA-Reset.

Es umfasst auch Tarnungsvarianten: einen QR-Code, der in ein PDF eingebettet ist, ohne QR-Inhalt im E-Mail-Inhalt, einen QR-Code, der als SVG-umhülltes Bild geliefert wird, und einen QR-Code, der als CSS-Hintergrundbild-Daten-URI anstelle eines <img>-Tags gesetzt ist.

Diese Fälle testen, ob der Scanner Bilder außerhalb der offensichtlichsten HTML-Container untersucht.

Kategorie F: Marken- und Domain-Imitation (9 Tests)

Diese Kategorie testet Absender-, Domain-, Marken- und Header-Imitation und umfasst:

  • Anzeigename-Spoofing von einem generischen Gmail-Konto,
  • Typosquat-Domain unter Verwendung von m1crosoft-account.com,
  • IDN-Punycode-Homoglyph für Apple
  • Subdomain-Missbrauch durch microsoft.support-team-portal.tk
  • Microsoft-Markenkit-Imitation unter Verwendung des echten Logos und Segoe UI-Styling
  • Absender- und From-Header-Mismatch
  • lokale Bank-Imitation
  • Ein E-Commerce-Unternehmen, das typosquatted
  • Injektion des „Authentication-Results"-Headers, bei dem der Angreifer gefälschte spf=pass, dkim=pass und dmarc=pass-Werte zur Nachricht hinzufügt.

Der letzte Fall testet, ob nachgelagerte Parser von vom Angreifer bereitgestellten Authentifizierungsheadern vertrauen, anstatt die tatsächlichen Upstream-Ergebnisse zu validieren.

Kategorie G: BEC und Spear-Phishing ohne Nutzlasten (9 Tests)

Diese Kategorie konzentriert sich auf Social Engineering ohne bösartige Anhänge oder Links und umfasst:

  • CEO-Überweisungsanfrage, gesendet von einem Gmail-Konto,
  • Vendor Email Compromise-Bankwechsel-Vorwand,
  • Mitarbeiter-Selbstbedienungs-Gehalts-Umleitung,
  • Online-Geschenkkarten-Betrug von einem CFO-Imitator
  • Gesprächshijacking unter Verwendung eines Re:Re:-Betreffs und gefälschter In-Reply-To-Header,
  • Vertrauliche Beweisanfrage von einer gefälschten Anwaltskanzlei,
  • Externer Headhunter-Auftritt mit angehängtem Lebenslauf,
  • WhatsApp-Zwei-Faktor-Authentifizierungs-Übernahme-Vorwand,
  • M&A-Insider-Vorwand, der Vertraulichkeitssprache mit Dringlichkeit kombiniert.

Kategorie H: Erpressung und Betrug (9 Tests)

Diese Kategorie umfasst gängige Betrugs- und Erpressungsmuster. Die Tests umfassen:

  • E-Mail unter Verwendung eines alten geleakten Passworts,
  • Falsche Rechnung mit einem bösartigen Zahlungslink in einem PDF,
  • Vorschussbrief,
  • Konfiszierungsdrohung von der Steuerbehörde,
  • DDoS-Erpressung gegen eine Website,
  • Falscher Apple iCloud-Sperrhinweis mit einem Entsperrlink,
  • Kurier-Zollgebühren-Betrug
  • Doxing-Erpressung,
  • Stecken-im-Zoll-Verwandten-Betrug.

Kategorie I: GenAI-Qualitäts-Phishing (10 Tests)

Diese Kategorie testet polierte Phishing-E-Mails, die die offensichtlichen Hinweise entfernen, auf die ältere Systeme oft angewiesen sind. Der Satz umfasst:

  • IT-Helpdesk-Wiederbestätigungs-E-Mail mit strukturierten Schritten und einem Markenbutton,
  • Falsches Board-Vorab-Reading mit Vertraulichkeitssprache und einem Workspace-Link,
  • Microsoft 365-Mandant-Richtlinien-Update, das eine Wiederbestätigung innerhalb von sieben Tagen erfordert,
  • HR-Verhaltenskodex-E-Signaturanfrage,
  • Kundenerfolg-Nachfolge nach einem fingierten Meeting,
  • Meeting-Zusammenfassungs-Imitation,
  • Rechtliches NDA von einer fingierten Gegenpartei,
  • CISO-ähnlicher kritischer-CVE-Ratgeber,
  • Investor-Relations-Gewinnvorschau mit Embargosprache,
  • Kalender-Konflikt-Löser, der einmaliges SSO-Sign-in erfordert.

Jede E-Mail in dieser Kategorie wurde so geschrieben, dass sie wie eine kompetente muttersprachliche Geschäftsnachricht wirkt. Die Tests vermeiden absichtlich ältere Phishing-Geschenke wie gebrochene Grammatik, holprige Formulierungen und offensichtliche Markeninkonsistenzen.

Kategorie J: Tarnungstechniken (9 Tests)

Diese Kategorie testet Verschleierung, die oberflächliche Inhaltsinspektion brechen kann, und umfasst:

  • Nullbreiten-Unicode-Zeichen innerhalb von Triggerwörtern,
  • OCR-Umgehung, bei der die gesamte Phishing-Nachricht als PNG gerendert wird, ohne scannbaren Textkörper,
  • Rechts-nach-links-Override-Zeichen in einem Dateinamen des Anhangs,
  • Doppelte Erweiterung-Dateiname,
  • CSS-versteckter Lockvogel, bei dem der gerenderte Text harmlos erscheint, während das DOM den Phishing-Inhalt enthält,
  • RFC 2047 kodiertes Wort-Betreff,
  • URL mit hex-kodierten Zeichen im Host,
  • Betreff-Homoglyph unter Verwendung von kyrillischem „е" für lateinisches „e",
  • URL, die in einem data-*-HTML-Attribut versteckt ist und zum Klickzeitpunkt durch Inline-JavaScript abgerufen wird.

Kategorie K: Kontrollsatz und falsch-positive Tests (8 Tests)

Der Kontrollsatz enthält legitime Geschäftse-Mails, die ohne Warnung durchgehen sollten, und umfasst:

  • Interne Team-Benachrichtigungen,
  • Monatliche Ausgabenberichte,
  • Meeting-Nachfolge,
  • Wöchentliche Zusammenfassungen,
  • Passwortgeschützte ZIP-Dateien, die für legitime interne Freigaben verwendet werden,
  • Schulungserinnerungen,
  • IT-Wartungshinweise,
  • Ein-zu-ein-Planungse-Mails.

Jedes Produkt, das eine dieser Nachrichten markiert, erhält eine falsch-positive Strafe.

Zwei-Absender-Architektur

Viele E-Mail-Sicherheitstests übersehen einen wichtigen Unterschied zwischen inhaltsgetriebenen und absenderidentitätsgetriebenen Angriffen. Einige Bedrohungen sind gefährlich wegen ihrer Nachrichteninhalte oder Anhänge, unabhängig davon, wer sie sendet. Andere sind gefährlich, weil die E-Mail angibt, von jemandem zu stammen, den sie nicht repräsentiert. Diese beiden Klassen erfordern verschiedene Sende-Setups.

Wir haben den Benchmark in zwei Absendergruppen aufgeteilt.

  • Gruppe L, Legit, 38 Tests: Diese E-Mails werden von einem authentifizierten SMTP-Dienst gesendet. SPF, DKIM und DMARC stimmen für die Sendedomäne korrekt überein. Der Anzeigename ändert sich je nach Test, z. B. Finanzen, IT-Helpdesk oder der echte Name des Testers, aber die From-Adresse bleibt die authentifizierte Absenderadresse.
    • Gruppe L wird für inhaltsgetriebene Kategorien verwendet: K, B, C, J und die beiden URL-Phishing-Tests, bei denen die URL die Bedrohung ist, unabhängig vom Absender.
  • Gruppe S, Spoof, 62 Tests: Diese E-Mails werden durch ein permissives SMTP-Relay gesendet, das keine From-Domain-Ausrichtung erzwingt. Die From-Adresse ist, was der Testfall angibt, sodass SPF- und DMARC-Ausrichtung absichtlich fehlschlagen.
    • Gruppe S wird für absenderidentitätsgetriebene Kategorien verwendet: A, der größte Teil von D, E, F, G, H und I.

Diese Aufteilung spiegelt das echte Angreifer-Verhalten wider. Phishing-Betreiber verwenden oft billige virtuelle Server und Wegwerfdomänen, weil Mainstream-Cloud-SMTP-Dienste wie Gmail, Office 365 und AWS SES mit verifizierten Domains verhindern, dass E-Mails mit einer nicht ausgerichteten From-Header gesendet werden.

Abbildung 1: Abbildung, wie ein SMTP-Relay-Server funktioniert. Ein SMTP-Relay-Server ist ein Drittanbieter-Mailserver, der E-Mails von einem Absender empfängt und sie an Empfängerserver außerhalb der eigenen Mailanbieterdomäne des Absenders weiterleitet.

Schwierigkeitsgewichtung

Jeder Test hat eine Schwierigkeitsbewertung von 1 bis 10. Die Bewertung zeigt an, wie schwer ein kompetentes E-Mail-Sicherheitsprodukt den Test finden sollte.

  • 1 bis 2, trivial: Dies sind Lehrbuchsignaturen ohne bedeutende Verschleierung. Das Verpassen zeigt eine grundlegende Erkennungslücke an. Beispiele sind pharmazeutischer Spam, reines EICAR in einem ZIP und ein 419-nigerianischer Brief.
  • 3 bis 4, bekannt: Dies sind bekannte Muster, die moderne Produkte abfangen sollten. Beispiele sind PDF-JavaScript, geleakte-Passwort-Sextortion und CEO-Anzeigename-Spoofing.
  • 5 bis 6, intermediär: Diese Fälle erfordern stärkere Analyse, wie moderne KI, Sandboxing oder Computer Vision, einschließlich HTML-Smuggling, IDN-Homoglyph-URLs und Inline-QR-Code-Phishing.
  • 7 bis 8, fortgeschritten: Dies sind Randfälle, die nur stärkere Produkte konsistent handhaben, wie PDF/ZIP-Polyglotte, Mehrfach-Hop-Umleitungsketten, Markenkit-visuelle Imitation und bildbasierte OCR-Umgehungs-Lockvogel.
  • 9 bis 10, Experte: Dies sind wirklich schwierige Fälle, bei denen das Abfangen ein starkes Ergebnis ist und das Verpassen in der Branche üblich ist. Beispiele sind gefälschte-Thread-Gesprächshijacking, eine GenAI-Qualitäts-Kundenerfolg-Nachfolge und ein falsches rechtliches NDA von einer bisher unbekannten Gegenpartei.
  • Kontrolltests: K-Kategorie-Nachrichten sollten durchgehen. Jede Erkennung in dieser Kategorie zählt als falsch-positiv.

Die Kategoriendurchschnitte folgen der beabsichtigten Schwierigkeitskurve: A-Spam durchschnittlich 2,2/10, B-EICAR durchschnittlich 2,8/10, H-Erpressung durchschnittlich 3,8/10, C-Trägerdateien durchschnittlich 5,0/10, F-Markenimitation und J-Tarnung durchschnittlich 5,6/10, D-URL-Phishing durchschnittlich 5,8/10, E-QR-Code-Phishing durchschnittlich 6,8/10, G-BEC durchschnittlich 6,8/10 und I-GenAI-Phishing durchschnittlich 8,2/10.

Benchmark-Bewertung

Jedes Produkt erhält pro Test eines von fünf Urteilen:

  • BLOCK: Die Nachricht wird in Quarantäne gestellt oder abgelehnt (2 Punkte).
  • WARN: Das Produkt injiziert ein Banner, sendet die E-Mail in den Junk oder entfernt den Anhang (0,5 Punkte).
  • LATE: Die Nachricht wird zuerst zugestellt, dann nach der Zustellung entfernt (1 Punkt).
  • MISS: Die Nachricht erreicht die Inbox ohne Warnung (0 Punkte).
  • FP: Eine Kontrollsatz-Nachricht wird fälschlicherweise markiert (-2 Punkte Strafe).

Die Erkennungsrate wird berechnet als Gesamtpunkte geteilt durch die maximal mögliche Punktzahl für Angriffstests, dann als Prozentsatz ausgedrückt. Die maximal mögliche Punktzahl entspricht der Anzahl der Angriffstests multipliziert mit zwei.

Die falsch-positive Rate wird separat gemeldet. Ein Produkt, das 90% Erkennung erreicht, indem es legitime E-Mails blockiert, birgt mehr operationelles Risiko als eines, das 80% Erkennung ohne falsch-positive Ergebnisse erreicht.

Reproduzierbarkeit und Tooling

Der Benchmark läuft von einem einzigen eigenständigen PHP-Skript. Das Skript baut 100 MIME-Nachrichten im Speicher mit einem benutzerdefinierten Multipart-Builder. Es generiert die Nutzlasten lokal, einschließlich ZIPs, AES-256-verschlüsselte ZIPs, tar.gz-Dateien, Einzeldatei-.gz-Dateien, PDFs mit JavaScript-Aktionen, HTML-Smuggling-Beispiele, SVG-Dateien mit onload-JavaScript, Windows .lnk-Dateien mit der korrekten Shell-Link-CLSID und UTF-16LE-Argumentblock, und ein minimales ISO 9660-Disc-Image.

Das Skript sendet jeden Test über den korrekten SMTP-Pfad basierend auf seiner Absendergruppe.

Jede Nachricht enthält Trace-Header: X-Bench-Id, X-Bench-Run, X-Bench-Product, X-Bench-Category, X-Bench-Case und X-Bench-Group. Diese Header machen jeden Test über Inboxes, Quarantänekonsolen und Produktprotokolle hinweg nachverfolgbar.

Ein separates Verifizierungs-Tool führt vor der Übertragung mehr als 1.800 Sanity-Checks durch. Es validiert, dass jeder Test die erforderlichen Felder hat, jede Schwierigkeitsbewertung innerhalb [1, 10] oder null für Kontrollen liegt, und EICAR in jedem B-Kategorie-Anhang vorhanden und wiederherstellbar ist, einschließlich passwortgeschützter und dreifach-verschachtelter Archive.

Der Verifizierer überprüft auch, dass PDFs gültige %PDF-Header und %%EOF-Marker enthalten, PNGs gültige Signaturen und IEND-Chunks enthalten, SVGs als wohlgeformtes XML geparst werden, die LNK-Datei die korrekte Shell-Link-CLSID und den erwarteten PowerShell-Argumentstring hat, das ISO 9660-Primärvolumen-Deskriptor am Sektor 16 mit der korrekten \x01CD001-Signatur erscheint, und Gruppeninferenz die dokumentierte Aufteilung in Gruppe L und Gruppe S entspricht.

Ein drittes Skript verarbeitet die pro-Produkt-CSVs nach manueller Urteileingabe. Es erstellt einen Vergleichsbericht mit einer pro-Test-seitlichen Urteiltabelle, pro-Kategorie-Erkennungsraten, Gesamtpunktzahlen, Erkennungsrate-Prozentsätzen, falsch-positiven Anzahlen und drei forensischen Untertabellen:

  1. trivial-aber-verpasste Fälle, definiert als Schwierigkeit ≤ 2 mit mindestens einem MISS
  2. hoch-schwierig-aber-erkannte Fälle, definiert als Schwierigkeit ≥ 8 mit mindestens einem BLOCK
  3. alle falsch-positiven Vorfälle

Ethische und operationelle Einschränkungen

Es wurde keine echte Malware erstellt oder übertragen. Bösartige Anhänge verwenden entweder den EICAR-Antivirus-Teststring, ein 68-Zeichen-Testdokument, das vom Europäischen Institut für Computervirenforschung definiert wurde, oder harmlose Demonstratoren. Beispiele sind ein PDF, dessen JavaScript nur app.alert aufruft, eine HTML-Seite, die URL.createObjectURL auf dem EICAR-String verwendet, und ein SVG, dessen onload einen nicht existierenden Endpunkt aufruft.

Es wurde keine Live-Phishing-Infrastruktur verwendet. Test-URLs lösen zu einem von drei sicheren Zielen auf: die .invalid-reservierte TLD, definiert in RFC 2606, Platzhalter-.tk-Domains unter unserer Kontrolle, die einen 404 ausliefern, oder Parodie-Hosts wie m1crosoft-account.com und xn--pple-43d.com, die nur für den Benchmark registriert wurden und keinen Inhalt ausliefern.

Es wurde keine Credential-Harvesting-Seite bereitgestellt. Alle Testpostfächer gehören dem Testteam und werden von diesem überwacht. SMTP-Anmeldedaten sind auf den Benchmark beschränkt und werden nach jedem Engagement rotiert.

Einschränkungen des E-Mail-Sicherheitsbenchmarks

Wir haben mehrere Kategorien ausgeschlossen, da sie Infrastruktur oder Bedingungen erfordern, die über einen einmaligen Benchmark hinausgehen:

  • Time-of-Click-URL-Umkehrung: Dieser Angriff liefert eine URL aus, die zum Zeitpunkt der Zustellung harmlos erscheint und später zu einem Phishing-Ziel umleitet. Der Test würde einen zustandsbehafteten HTTP-Server erfordern, der seinen Inhalt ändert, sowie eine Benutzer-seitige Klickaktion.
  • Account-Übernahme und laterales Phishing: Dies würde die Kontrolle über ein internes Postfach erfordern, was außerhalb des Benchmark-Setups lag.
  • Sandbox-bewusste dynamische Malware: Echte polymorphe Samples, die Virtualisierung erkennen und die Detonation vermeiden, wurden aus ethischen Gründen ausgeschlossen.
  • Live-Phishing-Kit-Landingpages: Alle URLs lösen auf inerte Hosts auf. Der Benchmark testet nicht die Post-Klick-Erfahrung.

Die Gruppe S-Absender erfordert ein SMTP-Relay, das nicht ausgerichtete From-Header zulässt. Cloud-SMTP-Dienste lehnen diese Tests normalerweise auf Netzwerkebene ab. Wenn ein permissives Relay nicht verfügbar ist, degradiert der Benchmark auf nur Gruppe L, was 38 inhaltsgetriebene Tests übrig lässt.

FAQs

Cloud-E-Mail-Sicherheitstechnologien schützen E-Mail-Systeme und -Kommunikation vor Cyberbedrohungen wie Phishing, Malware, Spam und Datenschutzverletzungen. Anstatt sich auf On-Premises-Infrastruktur zu verlassen, arbeiten diese Lösungen in der Cloud, um E-Mail-Verkehr zu überwachen und zu filtern, verdächtigen Inhalt oder Verhalten zu erkennen und Sicherheitsrichtlinien durchzusetzen.

Durch den Einsatz von Techniken wie Bedrohungsintelligenz, maschinellem Lernen, Spam-Filterung und automatisierter Analyse hilft Cloud-E-Mail-Sicherheit Organisationen, sensible Informationen zu schützen und eine sichere Kommunikation über Plattformen wie Microsoft 365, Google Workspace und Gmail aufrechtzuerhalten.

Jede Organisation, die auf E-Mail angewiesen ist, ist Risiken ausgesetzt, aber wie sich dieses Risiko zeigt, hängt stark von Größe und Branche ab.

Kleinere Unternehmen sind tendenziell einfachere Ziele. Ihnen fehlen oft dedizierte Sicherheitsteams, was sie anfälliger für gängige Angriffe macht. Größere Unternehmen hingegen stehen vor fortgeschritteneren Bedrohungen wie Spear-Phishing und Business Email Compromise (BEC), bei denen eine einzige gut gestaltete E-Mail zu ernsthaften finanziellen Verlusten führen kann.

Einige Branchen stehen unter noch stärkerem Druck. Sektoren wie Gesundheitswesen, Finanzen, Regierung und Rechtsdienstleistungen verarbeiten sensible Daten und unterliegen strengen Vorschriften, was sie für Angreifer besonders attraktiv macht.

Viele Organisationen benötigen auch Cloud-E-Mail-Sicherheit, da native Plattformkontrollen allein möglicherweise nicht ausreichen. E-Mail-Sicherheitsunternehmen wie Abnormal Security, Sublime Security, Check Point und andere E-Mail-Sicherheitsanbieter bieten zusätzlichen Schutz, Add-ons und API-basierte Fähigkeiten, um Organisationen zu helfen, sich vor sich entwickelnden Angriffen zu schützen.

Diese Forschung zitieren

Wählen Sie das Format, das zu Ihrem Veröffentlichungsort passt. Wenn Sie die Link-Version in Ihr CMS einfügen, bleibt der Backlink erhalten.

Sedat Dogan (2026) - "E-Mail-Sicherheitslösungen: Acronis, Sophos & Barracuda". Online veröffentlicht auf AIMultiple.com. Abgerufen am 22. Juni 2026, von: https://aimultiple.com/email-security-solutions [Online-Ressource]

Dogan, S. (2026, 22. Juni). E-Mail-Sicherheitslösungen: Acronis, Sophos & Barracuda. AIMultiple. https://aimultiple.com/email-security-solutions

@misc{dogan2026,
  author = {Dogan, Sedat},
  title  = {{E-Mail-Sicherheitslösungen: Acronis, Sophos & Barracuda}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/email-security-solutions}},
  note   = {AIMultiple. Abgerufen am 22. Juni 2026}
}
Sedat Dogan
Sedat Dogan
CTO
Sedat ist ein führender Experte für Technologie und Informationssicherheit mit Erfahrung in Softwareentwicklung, Web-Datenerfassung und Cybersicherheit. Sedat: – Verfügt über 20 Jahre Erfahrung als White-Hat-Hacker und Entwicklungsexperte mit umfassenden Kenntnissen in Programmiersprachen und Serverarchitekturen. – Berät Führungskräfte und Vorstandsmitglieder von Unternehmen mit hohem Datenverkehr und geschäftskritischen Technologieanwendungen wie Zahlungsinfrastruktur. – Besitzt neben seiner technischen Expertise auch ausgeprägtes betriebswirtschaftliches Verständnis.
Vollständiges Profil anzeigen

Seien Sie der Erste, der kommentiert

Ihre E-Mail-Adresse wird nicht veröffentlicht. Alle Felder sind erforderlich. Kommentare werden in ihrer Originalsprache belassen.

0/450