Services
Contactez-nous

Solutions de sécurité des e-mails: Acronis, Sophos & Barracuda

Sedat Dogan
Sedat Dogan
mis à jour le 22 juin 2026

L'e-mail est l'un des points d'entrée les plus courants pour les cyberattaques, et les protections intégrées ne suffisent plus à faire face aux menaces ciblées. Nous avons testé trois plateformes de sécurité des e-mails cloud (Acronis, Sophos et Barracuda) avec 100 tests répartis sur 11 catégories de menaces.

Résultats du benchmark des solutions de sécurité des e-mails cloud

Lisez la méthodologie de référence des solutions de sécurité des e-mails pour découvrir comment nous avons testé ces outils et mesuré les résultats.

Comparaison des solutions de sécurité des e-mails basée sur les catégories de verdict

Acronis Advanced Email Security

  • Acronis obtient le score de détection global le plus élevé (122/200) et se distingue contre le hameçonnage GenAI à 100 %. Les dix prétextes d'affaires polis ont été bloqués, y compris les faux pré-lectures de conseil d'administration, les flux de nouveau consentement Microsoft 365 et les accords de confidentialité juridiques fictifs.
    • C'est la catégorie la plus difficile du benchmark, avec une difficulté moyenne de 8,2/10. Le fait de bloquer les dix cas suggère que Acronis a bien géré les indices sémantiques et contextuels du hameçonnage dans ce benchmark, plutôt que de dépendre uniquement des signaux évidents de grammaire ou de mise en forme.
  • La catégorie F et la catégorie D soutiennent également ce tableau : Acronis a obtenu 89 % pour l'usurpation de marque/domaine et 90 % pour le hameçonnage par URL, y compris un BLOCAGE sur le test d'injection d'en-tête de résultats d'authentification. Les résultats globaux suggèrent une bonne gestion des cas d'usurpation d'identité et d'analyse d'URL.
  • Le dossier propre de faux positifs est opérationnellement significatif. Aucun des huit messages de contrôle n'a été bloqué, ce qui signifie que le taux de détection de 67 % n'entraîne aucun coût compensatoire en perte de courrier légitime.
  • Les points négatifs sont concentrés dans les niveaux de difficulté inférieurs. Le spam de base (catégorie A, 44 %) est inférieur à celui des autres outils, avec des ratés sur le spam pharmaceutique, les arnaques à la loterie et une arnaque romantique de base aux niveaux de difficulté 1 à 2. L'écart suggère que Acronis privilégie les attaques sophistiquées par rapport au trafic en vrac et de faible effort.

Sophos Email Security

  • Sophos a le deuxième score global le plus élevé (105,5/200). Il a obtenu 100 % sur la catégorie B (variantes de logiciels malveillants EICAR), interceptant chaque variante de nidification d'archive, ZIP protégé par mot de passe et test de tolérance au décalage.
  • Les faiblesses les plus visibles de Sophos sont le hameçonnage par URL (catégorie D, 58 %) et les techniques d'évasion (catégorie J, 22 %). L'écart de hameçonnage par URL est notable car les liens sont parmi les mécanismes de livraison de hameçonnage les plus courants, et la catégorie D teste plusieurs façons réalistes dont les attaquants les cachent ou les acheminent.
  • Le score de 58 % de Sophos, comparé aux 90 % de Acronis, suggère que sa couche d'analyse d'URL était moins cohérente face aux redirections, à l'obfuscation et aux emplacements d'URL hors corps.

Barracuda Email Protection

  • Le score de détection de 60/200 de Barracuda est inférieur à celui des deux autres produits. La catégorie I (hameçonnage GenAI) a retourné 0 % de détection, et la catégorie A (Spam : 33 %) a le score le plus bas parmi les concurrents. Cela suggère que Barracuda était moins efficace dans cette configuration contre le spam du benchmark, le hameçonnage GenAI et les scénarios d'ingénierie sociale.
  • La catégorie B (détection de logiciels malveillants connus via les chaînes de test EICAR, 89 %) et la catégorie C (types de fichiers porteurs tels que les PDF avec JavaScript intégré, HTML smuggling et raccourcis LNK, 70 %) sont compétitifs par rapport aux autres fournisseurs.
  • Les résultats de la catégorie J de Barracuda (techniques d'évasion, 44 %) montrent le meilleur des trois fournisseurs. Cela suggère que le moteur d'inspection de contenu sous-jacent peut gérer raisonnablement bien des fonctionnalités telles que les caractères de largeur nulle, les sujets codés et les homoglyphes.
  • Les faiblesses sont plus prononcées dans les catégories qui comptent le plus pour la protection moderne contre les menaces. Le hameçonnage par code QR (catégorie E, 13 %), l'usurpation de marque (catégorie F, 11 %), la BEC (catégorie G, 11 %) et l'extorsion (catégorie H, 22 %) sont tous bien en dessous de la comparaison.
  • Sur les onze tests de niveau difficile, Barracuda n'en a bloqué qu'un seul et raté les dix autres.

Top 3 des solutions de sécurité des e-mails cloud

Acronis Advanced Email Security analyse détaillée

Lorsque nous sélectionnons Acronis Email Security dans le menu de gauche de l'interface Acronis Cyber Protect Cloud, nous voyons l'écran suivant. Nous cliquons ensuite pour accéder à la console de sécurité des e-mails.

Puisque nous n'avons pas encore terminé la configuration, notre tableau de bord n'affiche que les éléments de menu suivants :

  • Incidents : Incidents de sécurité détectés et activité d'attaque.
    • Réponse aux incidents : Outils pour enquêter et répondre aux incidents.
    • Trafic : Visibilité sur les modèles de trafic e-mail ou web analysés.
    • Rapports périodiques : Rapports de sécurité et de protection planifiés.
  • Opérations de sécurité : Contrôles de sécurité opérationnels et outils de surveillance.
  • Configuration de détection : Configuration des règles de détection, de l'analyse et des paramètres de protection.

Depuis le menu Paramètres à gauche, nous allons aux actifs e-mail protégés.

Puisqu'il n'y a pas encore d'actifs, le système nous redirige vers le flux de configuration. Nous cliquons sur Configurer la protection des e-mails. Le système nous demande une adresse e-mail d'escalade pour signaler les problèmes et nous demande quel service e-mail nous utilisons.

Pour ce test, nous allons procéder avec un fournisseur personnalisé via MX. Nous faisons cela afin de pouvoir comparer directement les fournisseurs, sans être affectés par les protections intégrées de Microsoft 365 ou de Google Workspace.

Nous sélectionnons le service e-mail et choisissons la méthode de connexion Inline. Cela signifie que Acronis analyse et bloque les e-mails malveillants avant leur livraison.

Nous ajoutons également un contact d'escalade que Acronis peut utiliser pour la prise de contrôle de compte, la sécurité ou les problèmes de connexion. L'étape suivante consiste à activer l'application Google Workspace, qui prend en charge l'intégration, le comptage précis des utilisateurs pour la facturation et les actions de remédiation, telles que la suppression des e-mails malveillants livrés par erreur.

Nous ajoutons le domaine connecté, aimultiple.com, et le système récupère automatiquement les enregistrements MX.

Nous définissons également la méthode de calcul de la licence sur « Selon les sièges déclarés » et saisissons 100 sièges. Après ces paramètres, nous procédons à Suivant pour continuer la configuration MX.

Le système nous demande d'ajouter un enregistrement TXT pour vérifier la propriété du domaine. Nous ajoutons l'enregistrement et attendons la vérification.

Nous pouvons également gérer les serveurs de destination SMTP configurés, confirmer que TLS est activé et utiliser l'action Vérifier pour confirmer que l'enregistrement TXT a été publié correctement. Cette page nous permet également de modifier les paramètres de serveur et de TLS ou de supprimer le domaine si nécessaire.

Nous avons envoyé un total de 100 e-mails qui pourraient être considérés comme malveillants ou spam. Le tableau de bord affiche désormais des statistiques telles que le nombre d'e-mails analysés, le nombre classés comme spam, le nombre classés comme malveillants et le nombre d'e-mails reçus par type d'attaque. Il existe également une statistique montrant quelles adresses e-mail ont été attaquées le plus fréquemment.

Dans le menu Analyses, nous pouvons voir les statistiques d'analyse pour tous les e-mails entrants. La ventilation par type de fichier est également un détail utile. De plus, dans toute l'application, nous pouvons ajuster la plage de dates en cliquant sur Dernier jour en haut de la page.

Le filtrage dans la section Analyses est très détaillé. Voici quelques-unes des options :

  • Adresse/domaine/IP de l'expéditeur : Les principaux indicateurs pour identifier les expéditeurs malveillants ou usurpés.
  • Nom d'affichage usurpé : Cible directement l'une des techniques de hameçonnage les plus courantes, où le nom visible semble légitime, mais l'adresse réelle ne l'est pas.
  • Adresse de réponse : Un autre drapeau rouge important pour le hameçonnage. Lorsque la réponse diffère de l'adresse de l'expéditeur, cela signale souvent une tentative de rediriger les réponses vers une boîte de réception contrôlée par l'attaquant.
  • Action (mise en quarantaine/livrée) : Essentiel pour comprendre si une menace a été interceptée ou a atteint le destinataire.
  • Sujet : Pour identifier les campagnes de hameçonnage qui utilisent des lignes d'objet identiques ou quasi identiques sur plusieurs cibles.
  • Adresse du destinataire : Crucial pour déterminer la portée d'une attaque. Montre combien d'utilisateurs ont été ciblés et si des individus à haute valeur (dirigeants, finance) en faisaient partie.
  • Payload (pièces jointes/URL) : Rétrécit la recherche aux e-mails portant les mécanismes de livraison de logiciels malveillants les plus courants.

Lorsque nous allons aux Opérations de sécurité depuis le menu de gauche, nous accédons à la section Analyses. Depuis cet écran, nous pouvons accéder aux détails liés aux analyses. Toutes les analyses sont répertoriées ici, et nous pouvons également voir les catégorisations résultantes, telles que propre, spam et malveillant.

Lorsque nous ouvrons les détails d'un e-mail, nous pouvons voir comment le système l'a évalué et son statut actuel. Nous pouvons également changer son statut en :

  • Approuver le verdict (Gérer) : Accepter le verdict actuel et traiter l'e-mail en conséquence.
  • Marquer l'e-mail comme restreint : Classer l'e-mail comme restreint ou en violation de la politique.
  • Marquer l'e-mail comme Spam : Classer l'e-mail comme indésirable ou non sollicité.
  • Marquer l'e-mail comme Suspect : Signaler l'e-mail comme potentiellement risqué et nécessitant de la prudence.
  • Marquer l'e-mail comme Propre (FP) : Marquer l'e-mail comme sûr et indiquer qu'il s'agissait d'un faux positif.

La vue ci-dessous est la vue compacte. Lorsque nous cliquons sur l'onglet Détaillé en haut à droite, nous pouvons voir de nombreux détails supplémentaires.

Dans la vue compacte, nous pouvons voir les détails d'analyse d'un e-mail de hameçonnage malveillant qui a été mis en quarantaine par Acronis. Il comprend un aperçu généré par l'IA expliquant pourquoi l'e-mail est considéré comme malveillant et montrant des indicateurs tels qu'un domaine d'expéditeur suspect, un comportement de bombardement par e-mail et une URL à risque. Dans la section Détails, nous pouvons vérifier le canal, l'action entreprise, l'heure d'analyse, le temps de traitement, l'organisation et le statut IR.

Dans l'Inspecteur d'e-mails, nous pouvons examiner les métadonnées du message, y compris le sujet, l'expéditeur, le destinataire, l'heure, le chemin de retour et l'adresse IP source. Le corps de l'e-mail est également affiché, afin que nous puissions évaluer directement la tentative d'ingénierie sociale.

Les critères d'évaluation des incidents sont clairs et transparents. Pour un incident, nous pouvons également cliquer sur le bouton Demander une enquête, sélectionner « Je pense que cet e-mail est propre » et l'envoyer à l'équipe Acronis pour examen. Nous pouvons voir les analyses précédentes liées au même e-mail.

Avec le bouton Captures d'écran, nous pouvons voir la version rendue de l'e-mail, ce qui est une fonctionnalité très utile. Il est à noter que le système ne rend pas l'e-mail en HTML dans le navigateur, de sorte que toute vulnérabilité non détectée dans l'e-mail ne peut pas déclencher une violation lors de l'examen.

Toutes les actions des utilisateurs peuvent être journalisées, et nous pouvons voir ces enregistrements dans le journal d'audit depuis le menu de gauche. Certains de ces enregistrements sont :

  • Regarder les captures d'écran d'analyse
  • Gérer l'analyse
  • Action UI

Chaque journal enregistre l'horodatage, l'action, la description, l'administrateur ou l'équipe, l'organisation cible et l'e-mail ou l'objet cible associé.

Dans la configuration de détection du menu de gauche, nous pouvons gérer les listes d'autorisation et les listes de blocage en détail, ce qui est une fonctionnalité très utile :

  • Liste d'autorisation des adresses e-mail/domaines d'expéditeur : Les e-mails provenant d'adresses ou de domaines figurant sur cette liste sont toujours considérés comme fiables et contourneront les filtres de spam/menaces. Cela peut être utile pour mettre sur liste blanche des partenaires connus ou des systèmes internes qui pourraient autrement déclencher des faux positifs.
  • Liste d'autorisation des adresses e-mail des destinataires : Spécifie les adresses de destinataires internes qui doivent recevoir tous les e-mails entrants sans filtrage. Cela garantit que certains utilisateurs (par exemple, une boîte de réception générique) reçoivent toujours des e-mails, même de la part d'expéditeurs inconnus.
  • Liste de blocage des adresses e-mail/domaines d'expéditeur : Les e-mails provenant d'adresses ou de domaines figurant sur cette liste sont automatiquement rejetés ou mis en quarantaine. Il peut être utilisé pour bloquer définitivement des sources de spam connues, des domaines malveillants ou des expéditeurs en vrac indésirables.
  • Liste d'autorisation des adresses IP d'expéditeur : Les serveurs de messagerie avec des adresses IP figurant sur cette liste sont considérés comme fiables, et leurs e-mails sautent les vérifications de réputation basées sur l'IP. Peut être utilisé pour des services de messagerie tiers de confiance ou des relais de messagerie sur site.
  • Liste de blocage des adresses IP d'expéditeur : Les connexions provenant de ces adresses IP sont bloquées, indépendamment de l'adresse de l'expéditeur. Cela peut être efficace contre les serveurs de messagerie malveillants connus ou les infrastructures compromises.
  • Liste d'autorisation des URL : Les liens correspondant à ces URL ou domaines dans les corps d'e-mails sont considérés comme sûrs et ne seront pas signalés.
  • Liste de blocage des URL : Les e-mails contenant ces URL sont signalés, bloqués ou mis en quarantaine.
  • Liste d'autorisation des hachages : Les pièces jointes correspondant à ces hachages cryptographiques sont traitées comme sûres et passent sans alertes d'analyse.
  • Liste de blocage des hachages : Les pièces jointes dont le hachage correspond à une entrée de cette liste sont bloquées immédiatement. Cela fournit un blocage précis et basé sur la signature de fichiers malveillants connus, même s'ils sont renommés ou déguisés.

Certaines des fonctionnalités qui méritent d'être mentionnées, mais que nous n'avons pas spécifiquement testées, sont :

Sous la configuration de détection :

  • Intelligence des menaces : Récupère des indicateurs à partir de sources externes d'intelligence des menaces. Cette fonctionnalité aide à intercepter les logiciels malveillants de commodité répandus, les URL malveillantes et les campagnes d'attaque actives.
  • Bannières : Ajoute des bannières personnalisables aux e-mails entrants en fonction des politiques et des règles.
  • Utilisateurs VIP : Permet aux administrateurs de maintenir une liste d'utilisateurs à haute valeur (dirigeants, personnel financier, etc.).

Sous les opérations de sécurité :

Prise de contrôle de compte (ATO) : Détecte les boîtes aux lettres Microsoft 365 compromises. La fonctionnalité est conçue pour intercepter les attaquants qui utilisent des comptes piratés pour la fraude, le hameçonnage interne et l'exfiltration de données.

Le moteur signale les règles de boîte aux lettres suspectes (transfert, redirection, déplacement ou suppression d'e-mails), les connexions de voyage impossible et les connexions à partir d'emplacements ou d'appareils inconnus. Lorsqu'il repère l'un de ces signaux, il ouvre un dossier dans la console, et l'équipe de réponse aux incidents contacte l'administrateur pour enquêter ensemble.

Sophos Email Security analyse détaillée

Pour commencer avec Sophos, nous créons un lien d'essai et sommes redirigés vers l'écran suivant. Comme pour Barracuda, Sophos nous demande de sélectionner une région.

Le système demande ensuite quel produit nous voulons installer. Nous sélectionnons Email Security. D'autres produits qui peuvent être configurés incluent Endpoint Protection, Server Protection, Phish Threat, DNS Protection, Zero Trust Network Access, Protected Browser, Mobile, Wireless, Device Encryption, Firewall Management, Cloud Optix et Switches.

Nous enverrons 100 e-mails, et l'image ci-dessous montre le tableau de bord. Il comprend des statistiques telles que le nombre total d'e-mails entrants analysés, les menaces potentielles et les types de menaces détectés. Il existe également des statistiques pour les e-mails sortants, mais nous ne testons pas la sécurité des e-mails sortants dans ce benchmark.

Nous pouvons également voir d'autres éléments du tableau de bord tels que les tendances d'activité des e-mails, les résumés de menaces et les indicateurs de statut de sécurité.

Nous avons cliqué sur Configurer les paramètres de la passerelle e-mail. Le système nous demande de vérifier notre domaine. Ensuite, nous observons un paramètre utile dans lequel nous pouvons choisir uniquement entrant ou à la fois entrant et sortant. Il vérifie également les e-mails sortants pour prévenir les problèmes de sécurité.

Le système affiche l'enregistrement DNS que nous devons entrer. Nous l'ajoutons ensuite et procédons.

Nous ajoutons l'enregistrement TXT au DNS public du domaine. La valeur TXT est un jeton de vérification de domaine Sophos, et le TTL est défini sur 600. Après avoir ajouté l'enregistrement DNS, nous attendons la propagation, puis cliquons sur Vérifier afin que Sophos puisse confirmer que nous possédons le domaine.

Nous avons ajouté l'enregistrement et vérifié notre domaine. Pour la destination entrante, nous avons sélectionné MX et saisi l'enregistrement MX Google Workspace : aspmx.l.google.com.

Comme Barracuda, Sophos nécessite un routage MX. Contrairement à Sophos et Barracuda, Acronis a géré ce processus proprement via une API, et nous n'avons pas eu besoin de modifier les paramètres. Ce type de modifications de configuration MX ou similaires peut causer des problèmes pour les administrateurs système. Cependant, à des fins de test, nous passons à l'étape suivante.

Nous avons terminé les paramètres MX et envoyé un e-mail de test, mais il n'est pas passé. Après quelques investigations, nous avons vu que l'erreur était : « Cette adresse e-mail n'a pas été trouvée », ce qui était inattendu.

Nous devons aller dans le panneau, ouvrir la section Boîtes aux lettres depuis le menu de gauche, et ajouter manuellement les utilisateurs un par un. C'est un problème d'utilisabilité qui nuit à l'expérience globale, car à la fois Acronis et Barracuda ont fonctionné immédiatement. Pour le test, nous avons seulement ajouté notre propre adresse e-mail et continué les tests via ce compte.

La section Rapports se trouve dans le menu de gauche. Voici quelques-uns des rapports que nous pouvons créer :

  • Résumé des messages : Volume et statut global des e-mails.
  • Rapport d'analyse SophosLabs : Verdicts de messages signalés par les utilisateurs/administrateurs.
  • Résumé des menaces Intelix : Analyse des menaces pour les e-mails entrants.
  • Résumé du moment du clic : Rapport d'activité de clic sur les liens.
  • Utilisateurs à risque : Employés les plus vulnérables.
  • Résumé du contrôle des données :
  • Résumé après livraison : E-mails supprimés après livraison.
  • Résumé de l'utilisation de la licence : Utilisation de la licence de sécurité des e-mails.

Lorsque nous allons à Sécurité des e-mails > Historique des messages, nous pouvons voir tous les e-mails entrants et comment chacun a été classé. Ce rapport d'historique des messages répertorie les e-mails individuels traités par Sophos Email Security. Quelques champs clés sont :

  • Expéditeur : Qui l'e-mail semblait provenir.
  • Destinataires : Qui a reçu le message.
  • Type : Comment l'e-mail est entré dans le système, généralement Passerelle.
  • Sujet : La ligne d'objet de l'e-mail.
  • Dernier statut : Ce que Sophos a fait avec, comme Livré, Supprimé ou Mis en quarantaine.
  • Date : Quand l'e-mail a été traité.
  • Catégorie : Classification de Sophos, telle que Légitime, Spam, Logiciel malveillant, Menace Intelix ou Authentification.

Quelques exemples des catégories sont :

  • Légitime : E-mails normaux qui ont été autorisés.
  • Spam : E-mails suspects ou indésirables ; beaucoup sont mis en quarantaine.
  • Logiciel malveillant : E-mails dangereux contenant du contenu malveillant ; ceux-ci sont supprimés.
  • Menace Intelix : E-mails analysés par Sophos Intelix qui ont été jugés suspects ou menaçants.
  • Mis en quarantaine : L'e-mail a été bloqué et placé en quarantaine pour examen.
  • Supprimé : L'e-mail a été supprimé au lieu d'être livré.

Les filtres ci-dessous permettent aux utilisateurs de réduire le journal des e-mails par catégorie de message :

  • Légitime : E-mails normaux autorisés.
  • Message sécurisé : E-mails chiffrés ou protégés.
  • Contrôle des données : E-mails correspondant aux règles de sécurité/perte de données.
  • Échec de l'authentification : Échecs des vérifications SPF, DKIM ou DMARC.
  • Usurpation d'identité : Possible usurpation d'identité de l'expéditeur ou fraude.
  • Vrac : E-mails de marketing de masse ou automatisés.
  • Spam : E-mails indésirables ou suspects.
  • URL/Code QR : E-mails avec des liens ou des codes QR à risque.
  • Menace Intelix : E-mails signalés par l'analyse des menaces Sophos.
  • Inanalysable : E-mails que Sophos n'a pas pu inspecter complètement.
  • Logiciel malveillant : E-mails contenant des fichiers ou du contenu malveillants.
  • Entreprise bloquée : E-mails bloqués par la politique de l'entreprise.

Le menu Boîtes aux lettres montre les boîtes aux lettres surveillées. En ouvrant une boîte aux lettres, nous pouvons sélectionner quelles politiques appliquer. Sous Politique de base – Sécurité des e-mails, les paramètres suivants sont disponibles :

L'authentification comprend les vérifications d'authentification des e-mails pour les messages entrants. Nous pouvons configurer comment Sophos gère les échecs DMARC, SPF et DKIM, y compris des actions telles que se conformer à la politique de l'expéditeur ou étiqueter la ligne d'objet avec un avertissement.

Il comprend également des vérifications de l'expéditeur pour les anomalies d'en-tête et les anomalies de domaine, qui aident à détecter les e-mails qui semblent provenir de votre propre domaine ou de domaines suspects sans enregistrements DNS appropriés. Nous pouvons également activer des bannières pour les utilisateurs finaux pour montrer aux destinataires le niveau de confiance des messages entrants et nous aider à décider d'autoriser ou de bloquer les expéditeurs.

Anti-malware gère l'analyse anti-logiciel malveillant entrante pour les messages e-mail. Nous pouvons choisir l'action par défaut pour les détections de logiciels malveillants, comme Supprimer, et activer l'analyse améliorée des logiciels malveillants pour une analyse plus approfondie du contenu et des fichiers.

Il permet également de contrôler les e-mails non analysés et l'analyse des menaces Intelix, où Sophos peut utiliser l'analyse statique et dynamique pour classer les messages suspects. En fonction du verdict, nous pouvons définir des actions telles que la suppression, la livraison ou la gestion différente des e-mails malveillants et suspects.

Anti-spam gère la façon dont Sophos gère le spam et les e-mails en vrac. Nous pouvons définir des actions pour des catégories comme Spam confirmé et Vrac, y compris la mise en quarantaine des messages et décider s'ils apparaissent dans la quarantaine de l'utilisateur final.

Il comprend également un curseur de taux de capture de spam personnalisable, où des niveaux plus élevés augmentent l'agressivité de la détection du spam.

Nouveau domaine/expéditeur comprend des protections pour les domaines nouvellement enregistrés et les nouveaux expéditeurs. Nous pouvons activer les vérifications pour les e-mails envoyés à partir de domaines récemment créés, qui sont souvent utilisés dans les campagnes de hameçonnage.

Il permet également d'afficher une bannière Nouvel expéditeur lorsqu'un destinataire n'a pas reçu d'e-mails de cet expéditeur auparavant.

Le pays d'origine permet de contrôler les e-mails en fonction du pays de l'expéditeur. Des pays spécifiques peuvent être sélectionnés dans une liste, et les e-mails correspondants peuvent être mis en quarantaine ou traités conformément à la politique.

Il existe également une option pour vérifier chaque saut de message, ce qui aide à inspecter l'itinéraire qu'un e-mail a suivi avant d'atteindre le destinataire.

La langue gère le filtrage par langue du message. Nous pouvons sélectionner des langues spécifiques que nous voulons interdire et choisir l'action que Sophos doit entreprendre, comme la mise en quarantaine des messages correspondants.

La fonctionnalité de protection contre l'usurpation d'identité active les vérifications pour les tentatives d'usurpation VIP, de marque et générale.

Pour la protection des URL et des codes QR, nous pouvons vérifier les e-mails pour les URL et les codes QR malveillants. Sophos peut analyser les liens et extraire les URL des codes QR pour détecter les menaces avant que les utilisateurs n'interagissent avec eux.

Il gère également la protection des URL au moment du clic, où les liens sont réécrits et vérifiés lorsque l'utilisateur clique dessus.

Dans le menu de gauche, la section Messages mis en quarantaine affiche tous les e-mails dans lesquels une menace a été détectée. Nous pouvons filtrer par :

  • Anti-logiciel malveillant : E-mails signalés lors de l'analyse des logiciels malveillants. Cela inclut les messages avec des pièces jointes dangereuses, du contenu malveillant ou des éléments que Sophos n'a pas pu inspecter complètement :
    • Logiciel malveillant : E-mails confirmés contenant des fichiers, des liens ou du contenu malveillants. Ceux-ci sont généralement supprimés ou mis en quarantaine.
    • Inanalysable : E-mails que Sophos n'a pas pu inspecter correctement, par exemple en raison du chiffrement, de la corruption, des pièces jointes protégées par mot de passe ou des types de fichiers non pris en charge.
  • Anti-spam : E-mails classés via les règles de détection de spam :
    • Vrac : E-mails envoyés en masse tels que des newsletters, des campagnes marketing ou des notifications automatisées.
    • Spam confirmé : E-mails identifiés avec confiance comme du spam. Ceux-ci sont généralement mis en quarantaine ou bloqués.
    • Spam suspect : E-mails qui semblent suspects mais qui ne sont pas confirmés comme du spam. Ils peuvent être mis en quarantaine, étiquetés ou livrés en fonction de la politique.
    • Usurpation d'identité : E-mails qui pourraient prétendre provenir d'une personne, d'une marque, d'un domaine ou d'un expéditeur interne de confiance.
    • Pays non autorisé : E-mails bloqués ou mis en quarantaine car ils proviennent d'un pays restreint par la politique.
    • Langue non autorisée : E-mails bloqués ou mis en quarantaine car leur langue détectée n'est pas autorisée par la politique.
    • BATV : E-mails liés à la validation de l'adresse de rebond, utilisés pour aider à détecter les messages de rebond falsifiés ou le spam de rétrodiffusion.
    • Nouveau domaine/NRD : E-mails provenant de domaines nouvellement enregistrés, qui sont souvent utilisés dans les campagnes de hameçonnage ou d'attaque de courte durée.
  • Authentification : E-mails filtrés en fonction des vérifications d'authentification de l'expéditeur telles que les échecs SPF, DKIM ou DMARC.

Lorsque nous cliquons sur un e-mail, nous pouvons voir les messages expliquant pourquoi il a été mis en quarantaine. Nous pouvons le supprimer et bloquer l'expéditeur, libérer le message de la quarantaine, ou le libérer et autoriser des messages similaires à l'avenir.

Dans la section En-tête brut, nous pouvons voir toutes les informations d'en-tête pour l'e-mail. Nous pouvons également voir ses pièces jointes et les URL contenues dans le message. Cela ne semblait pas suffisamment détaillé dans notre évaluation. Acronis et Barracuda ont fourni une expérience plus complète et informative à cet égard.

Dans l'onglet Message, nous pouvons voir le contenu de l'e-mail tel quel, ce qui peut être dangereux. Il serait préférable de pouvoir voir le contenu de l'e-mail sous forme de capture d'écran, comme nous l'avons observé dans Acronis.

Il n'y a que 23 e-mails ici car ils ont été marqués comme spam, tandis que d'autres ont été directement rejetés. En bref, le système met en quarantaine les e-mails marqués comme spam.

Lorsque nous voulons exporter tous les e-mails entrants, nous ne pouvons pas le faire directement depuis les écrans de rapport. Nous devons créer un rapport personnalisé à partir des journaux d'e-mails, puis l'ouvrir, sélectionner Générer un rapport, choisir CSV, et enfin exporter tout en CSV. Ce flux de travail semble inutilement indirect et peu convivial.

Barracuda Email Protection analyse détaillée

Après avoir obtenu un essai de Barracuda, nous avons navigué vers le panneau, cliqué sur Ouvrir pour la protection des e-mails, et procédé.

Sous Disponible dans votre essai, nous pouvons voir les principaux produits inclus :

  • Protection des e-mails : Empêche les menaces par e-mail, sécurise les e-mails avant et après la livraison, et automatise la réponse aux incidents d'e-mail.
  • Sauvegarde cloud-to-cloud : Sauvegarde les données Microsoft 365.
  • Inspecteur de données : Trouve les données sensibles et les logiciels malveillants non détectés dans OneDrive et SharePoint.
  • Formation à la sensibilisation à la sécurité : Forme les employés aux menaces de sécurité des e-mails.
  • Service d'archivage cloud : Applique la rétention des e-mails pour la conformité et la découverte électronique.

Puisque nous n'avions pas encore configuré de domaines ou de paramètres connexes, le système nous a emmenés directement vers l'assistant de configuration, ce qui est une fonctionnalité utile pour configurer les paramètres d'e-mail.

Lorsque nous avons cliqué sur Suivant, le système nous a forcés à connecter un compte Microsoft 365. Cependant, nous utilisons Google Workspace et évaluons le service pour cet environnement.

Nous avons découvert plus tard que Barracuda prend en charge Google Workspace. Nous avons continué avec la configuration standard.

Le système nous a demandé de sélectionner une région de données. C'est une fonctionnalité importante pour la conformité RGPD, nous avons donc sélectionné l'Allemagne et continué.

Barracuda nous a ensuite demandé de saisir une adresse e-mail appartenant à notre domaine et de vérifier nos enregistrements MX. Nous avons seulement cliqué sur le bouton de vérification et n'avons effectué aucune action supplémentaire. Le système a vérifié les enregistrements avec succès.

Pendant les étapes ultérieures de notre configuration, nous avons constaté que Barracuda manquait d'une intégration native avec Google Workspace. Au lieu de cela, il nous a donné de nouveaux enregistrements MX pour remplacer nos enregistrements existants. Lorsque nous mettons à jour ces enregistrements MX, les e-mails entrants semblent atteindre Barracuda en premier.

Barracuda filtre ensuite les e-mails inappropriés et transfère ceux qui sont acceptables. Exiger des modifications d'enregistrement MX pour l'intégration de Google Workspace est une mauvaise approche.

Après cela, nous avons mis à jour les enregistrements MX et les avons vérifiés. Nous avons terminé la configuration et commencé à envoyer des e-mails.

Lors de l'envoi des e-mails, nous avons observé que Barracuda rejetait certaines demandes SMTP et refusait certaines pièces jointes. Lorsque nous avons effectué le même test avec Acronis, tous les e-mails ont été livrés et visibles dans le système. Ici, Barracuda rejette certains e-mails avant qu'ils n'apparaissent dans le tableau de bord.

Bien qu'il les rejette car ils sont véritablement malveillants, nous perdons la visibilité à la suite de ce processus automatisé. En d'autres termes, nous ne savons peut-être même pas si une attaque est arrivée et a été rejetée. C'est un défi pour utiliser Barracuda pour la sécurité des e-mails, car la visibilité est tout dans les contextes de sécurité. Si un produit rejette arbitrairement des incidents et les rend invisibles, cela nuit à l'équipe de sécurité.

Malgré ces défis, tous les e-mails de test ont été envoyés. Dans le tableau de bord Barracuda, nous sommes redirigés vers l'écran Journal des messages, où tous les e-mails analysés sont répertoriés.

La section Journal des messages comprend une zone de filtrage en haut. Voici les options de filtrage :

  • Recherche : Recherche de texte sur les messages, les destinataires, les expéditeurs et autres champs.
  • Domaines : Filtre les résultats par le domaine sélectionné.
  • Direction : Filtre par direction de l'e-mail ; Entrant ou Sortant.
  • Plage de date/heure : Limite les résultats à une fenêtre de temps spécifique.
  • Action entreprise : Filtre par l'action entreprise, par exemple Autorisé, Bloqué, Reporté.
  • Statut de livraison : Filtre par le fait que l'e-mail a été livré, échoué, mis en quarantaine, etc.
  • Raison : Filtre par la raison de détection qui a déclenché une action (par exemple, Score, DMARC, Antivirus, Contenu protégé).
  • Résultats : Contrôle le nombre d'enregistrements affichés par page.

Nous pouvons le signaler comme incorrectement classé. Par exemple, l'e-mail ci-dessous est sûr mais incorrectement classé comme nuisible. Nous avons signalé l'e-mail comme sûr.

L'e-mail ci-dessous est bloqué, mais le tableau de bord ne fournit aucun détail supplémentaire. Par conséquent, Barracuda est en défaut dans ce domaine. Il serait plus utile si nous pouvions voir plus d'informations sur la raison pour laquelle le message est bloqué, en plus du score de blocage.

Dans la section Domaines à gauche, nous pouvons voir, ajouter et supprimer les domaines que nous voulons inclure dans la protection des e-mails, qui sont des fonctions standard.

Dans le menu Entrant à gauche, Barracuda fournit les filtres utilisés pour ces contrôles. Nous pouvons configurer ces filtres.

Par exemple, sous Paramètres Anti-Spam/antivirus, nous pouvons configurer :

  • Utiliser la liste de blocage de réputation Barracuda : Vérifie les e-mails entrants par rapport à la base de données de Barracuda des expéditeurs malveillants connus. Peut être défini sur Block, Quarantaine ou Désactivé.
  • Analyser les e-mails pour les virus : Active ou désactive l'analyse des virus sur tous les e-mails entrants.
  • Utiliser le système en temps réel Barracuda : Compare les e-mails avec le flux d'intelligence des menaces en direct de Barracuda. Peut être bloqué, mis en quarantaine ou désactivé. Envoie optionnellement le contenu suspect à Barracuda Central pour une analyse plus approfondie.
  • Activer cloudscan : Décharge le score de spam sur le moteur cloud de Barracuda. Les scores vont de 1 à 10 ; les e-mails dépassant le seuil déclenchent l'action configurée.
  • Catégorisation des e-mails : Classe les e-mails entrants par type et applique une action par catégorie. Les catégories incluent E-mail d'entreprise, E-mail transactionnel, Matériaux marketing et newsletters, Listes de diffusion et Réseaux sociaux, chacun étant indépendamment défini sur Autoriser, Mettre en quarantaine, Block ou Désactivé.
  • Détection des e-mails en vrac : Détecte et agit sur les e-mails envoyés en masse. Lorsqu'il est défini sur Désactivé, les e-mails en vrac ne sont pas filtrés séparément.
  • Exemptions d'e-mails en vrac : Permet à des adresses e-mail ou des domaines spécifiques de contourner la détection des e-mails en vrac, définis par expéditeur ou destinataire.

Les pages de limite de taux définissent combien d'e-mails une adresse IP d'expéditeur peut envoyer dans chaque période de 30 minutes, ce qui est un paramètre utile. Cela peut empêcher les abus d'e-mails et les attaques soudaines à haut volume provenant d'une seule adresse IP d'expéditeur.

En limitant le nombre d'e-mails qu'une adresse IP peut envoyer dans une période de 30 minutes, le système peut réduire l'impact de :

  • Campagnes de spam
  • Éclats de hameçonnage
  • Distribution de logiciels malveillants
  • Comptes ou serveurs d'expéditeurs compromis
  • Inondation d'e-mails de type déni de service

Sur la page Liste blanche/Liste noire IP, nous pouvons contourner l'analyse pour les e-mails provenant d'adresses IP spécifiques ou les bloquer directement.

Dans les politiques régionales, nous pouvons appliquer un blocage ou une mise sur liste blanche géographique. Nous pouvons également bloquer ou autoriser les e-mails en fonction de la langue du contenu.

Dans les politiques de destinataire, nous pouvons configurer l'analyse ou les règles de contournement en fonction de l'adresse e-mail du destinataire.

Barracuda fournit également des politiques similaires pour les expéditeurs. Nous pouvons appliquer des exceptions en fonction de l'expéditeur.

Il existe également un tableau de bord où nous pouvons définir des exceptions en fonction des contrôles de sécurité des e-mails standard tels que DMARC, DKIM et SPF.

Dans les politiques de contenu, nous pouvons configurer si nous devons analyser ou contourner les e-mails en fonction du nom de fichier ou du type de fichier. Nous pouvons également définir des règles d'analyse ou de contournement en fonction du contenu du corps du message à l'aide d'expressions régulières.

Barracuda fournit la protection avancée contre les menaces (ATP) en tant qu'abonnement en plus du scanner de virus régulier. La protection avancée contre les menaces (ATP) est un service d'analyse cloud qui analyse les pièces jointes des e-mails dans un environnement cloud sécurisé pour détecter les menaces que les scanners de virus standard peuvent manquer. Il s'applique uniquement aux messages entrants et prend en charge la plupart des types de fichiers MIME.

Il existe trois modes dans ATP :

  1. Livrer d'abord, puis analyser tente d'analyser la pièce jointe en temps réel à l'arrivée de l'e-mail. Si l'analyse se termine à temps et qu'une menace est détectée, l'e-mail est bloqué. Si l'analyse ne se termine pas à temps, l'e-mail est livré immédiatement sans attendre le résultat. L'analyse continue de s'exécuter en arrière-plan, et si une menace est trouvée par la suite, le destinataire est notifié, mais l'e-mail a déjà atteint sa boîte de réception. Cela signifie que le destinataire pourrait ouvrir une pièce jointe infectée avant que la menace ne soit identifiée.
  2. Analyser d'abord, puis livrer analyse la pièce jointe avant la livraison. Si une menace est détectée, l'e-mail est bloqué. Si propre, il est livré. Les e-mails en attente d'analyse apparaissent dans le journal des messages avec « Analyse en attente » comme raison. Si un message reste différé pendant plus de quatre heures, il est mis en quarantaine. Ce mode est plus sécurisé mais peut retarder la livraison.
  3. Désactivé : ATP est complètement désactivé.

Le compromis clé ici est entre la vitesse et la sécurité. « Livrer d'abord » privilégie la vitesse de livraison mais introduit une fenêtre de risque. « Analyser d'abord » élimine ce risque mais peut retarder ou différer les messages avec des pièces jointes.

Dans la section Rapports, Barracuda crée des rapports détaillés sur la sécurité des e-mails :

  • Résumé du trafic entrant/sortant : Aperçu de toute l'activité des e-mails entrants et sortants, ventilée par reporté, bloqué, mis en quarantaine et autorisé.
  • Ventilation détaillée des e-mails entrants bloqués : Ventilation détaillée des raisons pour lesquelles les e-mails entrants ont été bloqués.
  • Principaux expéditeurs/destinataires d'e-mails entrants : Montre les expéditeurs/destinataires les plus fréquents d'e-mails entrants.
  • Ventilation détaillée des principaux expéditeurs d'e-mails entrants bloqués : Répertorie les expéditeurs dont les e-mails sont le plus souvent bloqués, avec les raisons.
  • Ventilation détaillée des principaux destinataires d'e-mails entrants bloqués : Montre les destinataires internes qui sont le plus souvent ciblés par des e-mails bloqués.
  • Principaux expéditeurs d'e-mails sortants : Aperçu des utilisateurs internes envoyant le plus grand volume d'e-mails sortants.
  • Principaux expéditeurs d'e-mails sortants bloqués : Montre les utilisateurs internes dont les e-mails sortants sont le plus souvent bloqués.

De plus, nous pouvons planifier des rapports automatisés, ce qui est une fonctionnalité utile. Au lieu de se connecter à plusieurs reprises pour vérifier les tableaux de bord, nous pouvons recevoir des résumés réguliers des menaces, des messages mis en quarantaine, des tendances de spam, des détections de logiciels malveillants, des tentatives d'usurpation d'identité, des actions de politique et des risques des utilisateurs. Les rapports planifiés peuvent également aider les utilisateurs à identifier les modèles tôt, tels qu'une augmentation des e-mails de hameçonnage, des attaques répétées contre des utilisateurs spécifiques ou une augmentation des pièces jointes malveillantes bloquées.

Le menu Syslog à gauche nous permet de transférer tous ces enregistrements à un serveur de journal de notre choix. C'est une fonctionnalité utile pour les intégrations SIEM.

Global, le produit offre une large gamme de fonctionnalités, mais sous-performe dans la détection des menaces. Une partie importante de la configuration est laissée à l'utilisateur, ce qui soulève la question de savoir si la valeur ajoutée justifie les frais généraux, en particulier pour les organisations qui utilisent déjà Google Workspace ou Microsoft 365 Compliance Center.

Fonctionnalités clés des solutions de sécurité des e-mails cloud

Les solutions de sécurité des e-mails cloud analysent le comportement des utilisateurs, détectent les anomalies contextuelles, automatisent la réponse et la remédiation aux menaces, et s'intègrent à l'écosystème de sécurité plus large. Les fonctionnalités clés incluent :

Détection des menaces alimentée par l'IA

Les systèmes de sécurité des e-mails cloud analysent le contexte du message, l'historique de l'expéditeur et l'intention pour signaler les attaques de hameçonnage et les tentatives d'usurpation d'identité qui semblent légitimes en surface. Cela inclut l'identification de signes subtils tels que des domaines similaires ou des modèles de timing inhabituels.

Les signaux comportementaux sont aussi importants que le contenu. En suivant les habitudes de communication normales, ces systèmes peuvent détecter des anomalies, telles qu'un employé de la finance recevant soudainement des demandes de paiement urgentes d'un nouvel expéditeur externe. Cette approche est particulièrement importante pour détecter la compromission des e-mails d'entreprise (BEC), où il n'y a pas de logiciel malveillant à analyser et aucun drapeau rouge évident.

Architecture de protection multicouche

Les plateformes de sécurité des e-mails cloud combinent plusieurs couches d'inspection pour intercepter les menaces qui échappent à un contrôle.

  • L'analyse statique vérifie les indicateurs connus, tandis que le bac à sable dynamique observe le comportement des pièces jointes dans un environnement contrôlé.
  • L'inspection des URL joue également un rôle clé, en particulier pour identifier les liens malveillants qui ne s'activent qu'après la livraison.
  • Les protocoles d'authentification tels que SPF, DKIM et DMARC aident à valider l'identité de l'expéditeur, réduisant le risque d'usurpation d'identité.

Ensemble, ces couches créent un système où chaque composant compense les limites des autres.

Protection contre les menaces émergentes

Les attaquants s'appuient de plus en plus sur la tromperie plutôt que sur des exploits techniques. Les tactiques d'ingénierie sociale sont conçues pour pousser les utilisateurs à prendre des décisions rapides, imitant souvent des dirigeants ou des vendeurs de confiance.

Cela inclut des campagnes ciblées telles que le spear phishing, où les messages sont adaptés à un individu ou un rôle spécifique. Des scénarios plus avancés impliquent des messages vocaux deepfake ou des tentatives de fraude à la facture.

Ces menaces avancées ne reposent pas sur des fichiers malveillants. Au lieu de cela, elles exploitent la confiance, rendant la détection dépendante du contexte et de l'intention plutôt que des signatures.

Détection en temps réel et réponse automatisée

Une fois qu'un message malveillant atteint une boîte de réception, la fenêtre de dommage est limitée. Les systèmes de sécurité analysent les e-mails à leur arrivée et agissent immédiatement lorsqu'une menace est confirmée.

L'automatisation réduit la charge sur les équipes de sécurité en supprimant les messages nuisibles dans toutes les boîtes aux lettres touchées, même après la livraison. Cela limite la propagation des attaques qui reposent sur le transfert interne ou les chaînes de réponse.

Les flux de travail de réponse peuvent également déclencher des actions plus larges, telles que l'isolement des comptes ou la mise à jour des règles de détection en fonction de nouvelles informations.

Surveillance continue et protection après livraison

Le filtrage initial ne capture pas tout. Les techniques d'attaque évoluent, et certaines menaces ne sont reconnues qu'après l'émergence de nouveaux indicateurs.

  • La surveillance continue permet aux systèmes de revoir les messages livrés et de supprimer les menaces nouvellement identifiées. Cela est crucial pour les attaques qui utilisent des charges utiles différées ou une livraison échelonnée.
  • La remédiation après livraison garantit que les e-mails précédemment manqués ne restent pas dans les boîtes de réception une fois qu'ils sont classés comme malveillants.

Continuité et résilience des e-mails

La sécurité ne consiste pas seulement à bloquer les menaces. La disponibilité compte tout autant. Si l'accès aux e-mails est perturbé, les opérations commerciales peuvent s'arrêter.

Les fonctionnalités de continuité basées sur le cloud fournissent un accès de secours pendant les pannes et prennent en charge la récupération rapide des messages et des comptes. Cela garantit que l'e-mail d'entreprise reste disponible même pendant les perturbations de service ou les attaques.

Ne manquez pas nos benchmarks et analyses basées sur les données. Le bouton ouvre Google ; sélectionner AIMultiple confirme que vous souhaitez voir AIMultiple plus souvent dans les résultats de recherche Google.
GoogleAjouter comme source préférée

Capacités différenciantes des plateformes de sécurité des e-mails cloud

Sécurité axée sur l'utilisateur (couche humaine)

De nombreux incidents commencent par une action de l'utilisateur. C'est pourquoi les plateformes de sécurité des e-mails modernes incluent des outils qui guident le comportement plutôt que de s'appuyer uniquement sur le filtrage.

  • Les bannières d'avertissement contextuelles peuvent alerter les utilisateurs lorsqu'un message semble suspect.
  • La formation devient également plus adaptative. Au lieu de simulations génériques, les utilisateurs reçoivent des conseils adaptés à leurs modèles d'interaction.

Intégration unifiée de la sécurité et de la plateforme

L'e-mail n'existe pas en isolation. Il fait partie d'un environnement plus large qui comprend des terminaux, des identités et des applications. L'intégration avec les systèmes de terminal et d'identité permet des réponses coordonnées. Par exemple, si un e-mail conduit au vol d'identifiants, le système peut déclencher des actions au-delà de la boîte de réception.

Les tableaux de bord centralisés donnent aux équipes une vision plus claire de leur posture de sécurité globale, réduisant les malentendus entre les outils.

Protection des données, chiffrement et conformité

L'e-mail transporte souvent des contrats, des détails financiers et d'autres données sensibles. La protection de ces informations nécessite plus que la détection des menaces.

  • Le chiffrement garantit que les messages restent privés en transit et au repos. Les politiques de prévention de la perte de données aident à empêcher le partage non autorisé, qu'il soit accidentel ou intentionnel.
  • Les fonctionnalités de conformité prennent en charge les exigences réglementaires, y compris les pistes d'audit et les politiques de rétention. Cela est particulièrement pertinent pour les organisations qui opèrent à travers les frontières et gèrent des données soumises à des règles légales ou spécifiques à l'industrie strictes.

Méthodologie de référence de la sécurité des e-mails cloud

Nous avons évalué trois produits de sécurité des e-mails : Acronis Advanced Email Security (propulsé par Perception Point), Sophos Email Security et Barracuda Email Protection.

Le benchmark comprenait 100 tests de bout en bout et suivait quatre principes.

  1. Piloté par la couverture : Chaque test correspond à une capacité que le fournisseur prétend publiquement fournir.
  2. Pondéré par la difficulté : Rater un test simple 1/10 signale un écart produit sérieux. Rater un test 9/10 est plus compréhensible car ces cas reflètent des problèmes de détection de niveau expert. La méthode de notation sépare ces cas plutôt que de traiter tous les ratés de manière égale.
  3. Reproductible : Le benchmark est exécuté avec un outil de test PHP autonome et vérifié par une suite de vérification séparée. Avant l'envoi de tout e-mail de test, le vérificateur effectue plus de 1 800 vérifications pour confirmer que les charges de test sont complètes, valides et correctement configurées.
  4. Éthique : Les tests de logiciels malveillants utilisent la chaîne de test antivirus EICAR. Les URL de hameçonnage pointent vers une infrastructure de canaris inerte ou inexistante. Toutes les boîtes aux lettres de test sont la propriété de l'équipe de test.

Nous avons sélectionné des tests afin que les revendications publiques de chaque fournisseur soient exercées au moins une fois. La priorité était de tester les menaces que les trois fournisseurs prétendent détecter, ce qui rend la comparaison directe équitable. Nous avons également inclus un nombre plus faible de cas spécifiques au fournisseur lorsqu'ils étaient pertinents. Par exemple, le détournement de conversation est une revendication centrale de Barracuda, la détection du hameçonnage par code QR est explicitement revendiquée par Acronis Advanced Email Security, et les leurres GenAI de style deepfake sont le plus souvent promus par les fournisseurs axés sur l'IA.

Le benchmark est organisé en onze catégories. Chaque catégorie teste un mécanisme de détection différent. Les nombres de tests sont indiqués entre parenthèses, avec 100 tests au total.

Catégorie A : Spam (9 tests)

Cette catégorie couvre les publicités pharmaceutiques en vrac, les e-mails de pompage et de vidage de cryptomonnaie, les arnaques à la loterie, les prêts sur salaire, les ouvertures de plateformes de rencontres et la prospection à froid B2B SEO.

La plupart des tests dans cette catégorie sont intentionnellement faciles. Deux tests, le marketing de courriers gris et la prospection à froid B2B, se situent plus près de la frontière des faux positifs car un filtrage agressif peut bloquer les e-mails commerciaux légitimes.

Catégorie B : Logiciels malveillants connus utilisant la chaîne de test EICAR (9 tests)

Cette catégorie teste la livraison EICAR à travers des formats de pièces jointes courants et imbriqués :

  • Piece jointe .txt simple,
  • ZIP régulier,
  • ZIP protégé par mot de passe avec le mot de passe inclus dans le corps de l'e-mail,
  • ZIP imbriqué dans un autre ZIP,
  • EICAR avec une extension .exe pour tester la gestion des incohérences d'extension et de contenu,
  • .tar.gz, archive récursive à trois niveaux,
  • Fichier .gz unique sans enveloppe tar,
  • EICAR avec quatre kilo-octets de déchets préfixés pour tester la tolérance au décalage.

Ces tests exercent le déballage d'archives, le support de format et l'extraction de mot de passe à partir du corps de l'e-mail. Ce sont des capacités de base pour les passerelles de messagerie modernes.

Catégorie C : Types de fichiers porteurs (10 tests)

Cette catégorie teste les formats de fichiers couramment utilisés pour transporter ou déclencher un comportement malveillant. L'ensemble comprend :

  • PDF avec JavaScript intégré et un déclencheur OpenAction,
  • HTML smuggling utilisant URL.createObjectURL sur un blob encodé en Base64,
  • SVG avec un script onload et XHR distant,
  • Raccourci Windows .lnk avec une charge utile PowerShell dans le bloc d'arguments,
  • Fichier polyglotte PDF/ZIP,
  • Application HTML .hta avec VBScript,
  • Déposeur JavaScript Windows Script Host utilisant XMLHTTP et ADODB.Stream,
  • Image ISO 9660 contenant EICAR,
  • Fichier de raccourci Internet .url,
  • Fichier de requête Internet Excel .iqy.

C'est l'une des catégories les plus discriminantes car les résultats des produits varient considérablement selon ces types de porteurs.

Catégorie D : Hameçonnage par URL (10 tests)

Cette catégorie mesure l'analyse des URL à travers les liens directs, les redirections, l'obfuscation et les emplacements hors corps. Elle comprend :

  • URL de hameçonnage directe sur un TLD suspect,
  • Destination raccourcie par Bitly,
  • Chaîne de redirection multi-sauts via le redirigeur ouvert de Google et t.co,
  • Homoglyphe IDN Punycode utilisant « а » cyrillique dans раypal.com,
  • URL cachée HTML utilisant des caractères de largeur nulle et du texte blanc d'un pixel,
  • URL présente uniquement dans une annotation PDF,
  • URI transportant du HTML encodé en Base64 avec un lien de hameçonnage,
  • URL extrêmement longue avec l'hôte réel enfoui dans la chaîne de requête,
  • Paramètre de redirection ouverte sur un hôte d'apparence légitime,
  • URL de cache Google AMP qui cache la destination de hameçonnage derrière google.com/amp/s/.

Catégorie E : Hameçonnage par code QR (8 tests)

Cette catégorie teste si les produits peuvent extraire et inspecter les URL de hameçonnage cachées à l'intérieur des codes QR. L'ensemble comprend :

  • Codes QR PNG en ligne pour la réinscription MFA,
  • Signature DocuSign,
  • Accès à la fiche de paie,
  • Avis de réexpédition d'expédition
  • Accès à la messagerie vocale
  • Réinitialisation 2FA bancaire.

Il comprend également des variantes d'évasion : un code QR intégré dans un PDF sans contenu QR dans le corps de l'e-mail, un code QR livré comme une image enveloppée SVG, et un code QR défini comme une URI de données d'image d'arrière-plan CSS au lieu d'une balise <img>.

Ces cas testent si l'analyseur examine les images en dehors des conteneurs HTML les plus évidents.

Catégorie F : Usurpation de marque et de domaine (9 tests)

Cette catégorie teste l'usurpation d'identité de l'expéditeur, du domaine, de la marque et de l'en-tête et comprend :

  • Usurpation d'identité du nom d'affichage à partir d'un compte Gmail générique,
  • Domaine typosquat utilisant m1crosoft-account.com,
  • Homoglyphe IDN punycode pour Apple
  • Abus de sous-domaine via microsoft.support-team-portal.tk
  • Imitation de la trousse de marque Microsoft utilisant le vrai logo et le style Segoe UI
  • Incohérence entre l'expéditeur et l'en-tête From
  • Usurpation d'identité de banque locale
  • Usurpation d'identité typosquat d'une entreprise de commerce électronique
  • Injection d'en-tête de résultats d'authentification où l'attaquant ajoute des valeurs spf=pass, dkim=pass et dmarc=pass forgées au message.

Le dernier cas teste si les analyseurs en aval font confiance aux en-têtes d'authentification fournis par l'attaquant plutôt que de valider les résultats en amont réels.

Catégorie G : BEC et spear phishing sans charges utiles (9 tests)

Cette catégorie se concentre sur l'ingénierie sociale sans pièces jointes ou liens malveillants et comprend :

  • Demande de virement de la PDG envoyée depuis un compte Gmail,
  • Prétexte de changement bancaire de compromission des e-mails des fournisseurs,
  • Redirection de salaire de l'auto-service des employés,
  • Arnaque à la carte-cadeau en ligne d'un usurpateur de DAF
  • Détournement de conversation utilisant un sujet Re:Re: et des en-têtes In-Reply-To forgés,
  • Demande de preuve confidentielle d'un faux cabinet d'avocats,
  • Prospection de chasseur de têtes externe avec un CV joint,
  • Prétexte de prise de contrôle de l'authentification à deux facteurs WhatsApp,
  • Prétexte d'initié M&A qui combine un langage de confidentialité avec l'urgence.

Catégorie H : Extorsion et arnaques (9 tests)

Cette catégorie couvre les modèles courants d'arnaque et d'extorsion. Les tests incluent :

  • E-mail utilisant un ancien mot de passe divulgué,
  • Fausse facture avec un lien de paiement malveillant dans un PDF,
  • Lettre de frais anticipés,
  • Menace de confiscation de l'administration fiscale,
  • Extorsion DDoS contre un site web,
  • Faux avis de verrouillage Apple iCloud avec un lien de déverrouillage,
  • Arnaque aux frais de douane de coursier
  • Extorsion de doxing,
  • Arnaque relative bloquée en douane.

Catégorie I : Hameçonnage de qualité GenAI (10 tests)

Cette catégorie teste des e-mails de hameçonnage polis qui suppriment les indices évidents sur lesquels les anciens systèmes s'appuient souvent. L'ensemble comprend :

  • E-mail de révérification du service informatique avec des étapes structurées et un bouton de marque,
  • Faux pré-lecture de conseil d'administration avec un langage de confidentialité et un lien d'espace de travail,
  • Mise à jour de la politique de locataire Microsoft 365 nécessitant un nouveau consentement dans les sept jours,
  • Demande de signature électronique du code de conduite RH,
  • Suivi de succès client après une réunion fictive,
  • Usurpation d'identité de compte-rendu de réunion,
  • NDA juridique d'une contrepartie fictive,
  • Advisory CISO-style sur une CVE critique,
  • Aperçu des résultats des relations investisseurs avec un langage d'embargo,
  • Résolveur de conflit de calendrier nécessitant une connexion SSO unique.

Chaque e-mail de cette catégorie a été écrit pour ressembler à un message d'affaires compétent en anglais natif. Les tests évitent délibérément les indices de hameçonnage plus anciens tels que la grammaire brisée, les formulations maladroites et les incohérences de marque évidentes.

Catégorie J : Techniques d'évasion (9 tests)

Cette catégorie teste l'obfuscation qui peut briser l'inspection de contenu superficielle et comprend :

  • Caractères Unicode de largeur nulle à l'intérieur des mots déclencheurs,
  • Contournement OCR où tout le message de hameçonnage est rendu sous forme de PNG sans texte de corps analysable,
  • Caractère de remplacement de droite à gauche dans un nom de fichier de pièce jointe,
  • Nom de fichier à double extension,
  • Appât caché CSS où le texte rendu semble bénin tandis que le DOM contient le contenu de hameçonnage,
  • Sujet encodé en mot RFC 2047,
  • URL avec des caractères encodés en hexadécimal dans l'hôte,
  • Sujet homoglyphe utilisant « е » cyrillique pour « e » latin,
  • URL cachée dans un attribut HTML data-* et récupérée au moment du clic par JavaScript en ligne.

Catégorie K : Ensemble de contrôle et test de faux positifs (8 tests)

L'ensemble de contrôle contient des e-mails commerciaux légitimes qui doivent passer sans avertissement et incluent :

  • Notifications d'équipe internes,
  • Rapports de dépenses mensuels,
  • Suivis de réunion,
  • Résumés hebdomadaires,
  • Fichiers ZIP protégés par mot de passe utilisés pour le partage interne légitime,
  • Rappels de formation,
  • Avis de maintenance informatique,
  • E-mails de planification un à un.

Tout produit qui signale l'un de ces messages reçoit une pénalité de faux positif.

Architecture à deux expéditeurs

De nombreux tests de sécurité des e-mails négligent une distinction importante entre les attaques axées sur le contenu et celles axées sur l'identité de l'expéditeur. Certaines menaces sont dangereuses en raison de leur corps de message ou de leurs pièces jointes, indépendamment de qui les envoie. D'autres sont dangereuses parce que l'e-mail prétend provenir de quelqu'un qu'il ne représente pas. Ces deux classes nécessitent des configurations d'envoi différentes.

Nous avons divisé le benchmark en deux groupes d'expéditeurs.

  • Groupe L, Légitime, 38 tests : Ces e-mails sont envoyés depuis un service SMTP authentifié. SPF, DKIM et DMARC s'alignent correctement pour le domaine d'envoi. Le nom d'affichage change par test, comme Finance, Service informatique ou le vrai nom du testeur, mais l'adresse From reste l'adresse de l'expéditeur authentifié.
    • Le groupe L est utilisé pour les catégories axées sur le contenu : K, B, C, J et les deux tests de hameçonnage par URL, où l'URL est la menace indépendamment de l'expéditeur.
  • Groupe S, Spoof, 62 tests : Ces e-mails sont envoyés via un relais SMTP permissif qui n'impose pas l'alignement du domaine From. L'adresse From est ce que le cas de test spécifie, donc l'alignement SPF et DMARC échoue par conception.
    • Le groupe S est utilisé pour les catégories axées sur l'identité de l'expéditeur : A, la plupart de D, E, F, G, H et I.

Cette division reflète le comportement réel des attaquants. Les opérateurs de hameçonnage utilisent souvent des serveurs virtuels bon marché et des domaines jetables car les principaux services SMTP cloud, tels que Gmail, Office 365 et AWS SES, avec des domaines vérifiés, empêchent l'envoi de courrier avec un en-tête From désaligné.

Figure 1 : Figure montrant le fonctionnement d'un serveur relais SMTP. Un serveur relais SMTP est un serveur de messagerie tiers qui reçoit des e-mails d'un expéditeur et les transmet aux serveurs de destinataires en dehors du domaine du fournisseur de messagerie propre de l'expéditeur.

Pondération de la difficulté

Chaque test a une note de difficulté de 1 à 10. La note indique à quel point un produit de sécurité des e-mails compétent devrait trouver le test difficile.

  • 1 à 2, trivial : Ce sont des signatures de manuel sans obfuscation significative. Les rater indique un écart de détection fondamental. Les exemples sont le spam pharmaceutique, EICAR simple dans un ZIP et une lettre nigériane 419.
  • 3 à 4, bien connu : Ce sont des modèles familiers que les produits modernes devraient intercepter. Les exemples incluent JavaScript PDF, sextortion avec mot de passe divulgué et usurpation d'identité du nom d'affichage de la PDG.
  • 5 à 6, intermédiaire : Ces cas nécessitent une analyse plus forte, telle que l'IA moderne, le bac à sable ou la vision par ordinateur, y compris HTML smuggling, les URL homoglyphes IDN et le hameçonnage par code QR en ligne.
  • 7 à 8, avancé : Ce sont des cas limites que seuls les produits plus puissants gèrent de manière cohérente, tels que les polyglottes PDF/ZIP, les chaînes de redirection multi-sauts, l'usurpation d'identité visuelle de trousse de marque et les leurres de contournement OCR uniquement image.
  • 9 à 10, expert : Ce sont des cas véritablement difficiles où intercepter est un bon résultat et rater est courant dans l'industrie. Les exemples incluent le détournement de conversation de fil forgé, un suivi de succès client de qualité GenAI et un faux NDA juridique d'une contrepartie précédemment inconnue.
  • Tests de contrôle : Les messages de la catégorie K doivent passer. Toute détection dans cette catégorie compte comme un faux positif.

Les moyennes de catégorie suivent la courbe de difficulté prévue : A spam moyenne 2,2/10, B EICAR moyenne 2,8/10, H extorsion moyenne 3,8/10, C fichiers porteurs moyenne 5,0/10, F usurpation de marque et J évasion moyenne 5,6/10, D hameçonnage par URL moyenne 5,8/10, E hameçonnage par code QR moyenne 6,8/10, G BEC moyenne 6,8/10 et I hameçonnage GenAI moyenne 8,2/10.

Notation du benchmark

Chaque produit reçoit l'un des cinq verdicts par test :

  • BLOC : Le message est mis en quarantaine ou rejeté (2 points).
  • AVERTIR : Le produit injecte une bannière, envoie l'e-mail aux indésirables ou supprime la pièce jointe (0,5 point).
  • TARD : Le message est livré d'abord, puis supprimé après la livraison (1 point).
  • RATER : Le message atteint la boîte de réception sans avertissement (0 point).
  • FP : Un message de l'ensemble de contrôle est incorrectement signalé (pénalité de -2 points).

Le taux de détection est calculé comme le total des points divisé par le score maximum possible pour les tests d'attaque, puis exprimé en pourcentage. Le score maximum possible est égal au nombre de tests d'attaque multiplié par deux.

Le taux de faux positifs est rapporté séparément. Un produit qui atteint 90 % de détection en bloquant du courrier légitime présente plus de risques opérationnels qu'un produit qui atteint 80 % de détection sans faux positifs.

Reproductibilité et outils

Le benchmark s'exécute à partir d'un seul script PHP autonome. Le script construit 100 messages MIME en mémoire avec un constructeur multipart personnalisé. Il génère les charges localement, y compris les ZIP, les ZIP chiffrés AES-256, les fichiers tar.gz, les fichiers .gz uniques, les PDF avec des actions JavaScript, des échantillons de HTML smuggling, des fichiers SVG avec JavaScript onload, des fichiers Windows .lnk avec le bon CLSID Shell Link et le bloc d'arguments UTF-16LE, et une image de disque ISO 9660 minimale.

Le script envoie chaque test via le bon chemin SMTP en fonction de son groupe d'expéditeurs.

Chaque message comprend des en-têtes de trace : X-Bench-Id, X-Bench-Run, X-Bench-Product, X-Bench-Category, X-Bench-Case et X-Bench-Group. Ces en-têtes rendent chaque test traçable dans les boîtes de réception, les consoles de quarantaine et les journaux de produits.

Un outil de vérification séparé exécute plus de 1 800 vérifications de bon sens avant la transmission. Il valide que chaque test a les champs requis, que chaque note de difficulté est dans [1, 10] ou zéro pour les contrôles, et que EICAR est présent et récupérable de chaque pièce jointe de catégorie B, y compris les archives protégées par mot de passe et imbriquées à trois niveaux.

Le vérificateur vérifie également que les PDF contiennent des en-têtes %PDF- valides et des marqueurs %%EOF, que les PNG contiennent des signatures valides et des blocs IEND, que les SVG sont analysés comme du XML bien formé, que le fichier LNK a le bon CLSID Shell Link et la chaîne d'arguments PowerShell attendue, que le descripteur de volume principal ISO 9660 apparaît au secteur 16 avec la bonne signature \x01CD001, et que l'inférence de groupe correspond à la division documentée du groupe L et du groupe S.

Un troisième script traite les CSV par produit après la saisie manuelle des verdicts. Il produit un rapport comparatif avec un tableau de verdicts côte à côte par test, des taux de détection par catégorie, des scores totaux, des pourcentages de taux de détection, des nombres de faux positifs et trois sous-tableaux forensiques :

  1. cas triviaux mais ratés, définis comme difficulté ≤ 2 avec au moins un RATER
  2. cas de haute difficulté mais interceptés, définis comme difficulté ≥ 8 avec au moins un BLOC
  3. tous les incidents de faux positifs

Éthique et contraintes opérationnelles

Aucun vrai logiciel malveillant n'a été créé ou transmis. Les pièces jointes malveillantes utilisent soit la chaîne de test antivirus EICAR, soit un document de test de 68 caractères défini par l'Institut européen de recherche sur les antivirus informatiques, soit des démonstrateurs bénins. Les exemples incluent un PDF dont le JavaScript appelle uniquement app.alert, une page HTML qui utilise URL.createObjectURL sur la chaîne EICAR et un SVG dont onload appelle un point de terminaison inexistant.

Aucune infrastructure de hameçonnage en direct n'a été utilisée. Les URL de test résolvent vers l'une des trois destinations sûres : le TLD réservé .invalid défini dans la RFC 2606, les domaines .tk de remplacement sous notre contrôle qui servent un 404, ou des hôtes parodiques tels que m1crosoft-account.com et xn--pple-43d.com enregistrés uniquement pour le benchmark et ne servant aucun contenu.

Aucune page de collecte d'identifiants n'a été déployée. Toutes les boîtes aux lettres de test sont la propriété et surveillées par l'équipe de test. Les identifiants SMTP sont limités au benchmark et tournés après chaque engagement.

Limites du benchmark de sécurité des e-mails

Nous avons exclu plusieurs catégories car elles nécessitent une infrastructure ou des conditions au-delà d'un benchmark à un coup :

  • Retournement d'URL au moment du clic : Cette attaque livre une URL qui semble bénigne au moment de la livraison et redirige plus tard vers une destination de hameçonnage. Le tester nécessiterait un serveur HTTP étatique qui modifie son contenu, plus une action de clic côté utilisateur.
  • Prise de contrôle de compte et hameçonnage latéral : Cela nécessiterait le contrôle d'une boîte aux lettres interne, ce qui était en dehors de la configuration du benchmark.
  • Logiciel malveillant dynamique conscient du bac à sable : Les vrais échantillons polymorphes qui détectent la virtualisation et évitent la détonation ont été exclus pour des raisons éthiques.
  • Pages d'atterrissage de kits de hameçonnage en direct : Toutes les URL résolvent vers des hôtes inertes. Le benchmark ne teste pas l'expérience après le clic.

Le groupe S nécessite un relais SMTP qui permet des en-têtes From désalignés. Les services SMTP cloud rejettent généralement ces tests au niveau du réseau. Lorsqu'un relais permissif n'est pas disponible, le benchmark se dégrade au seul groupe L, ce qui laisse 38 tests axés sur le contenu.

FAQ

Les technologies de sécurité des e-mails cloud protègent les systèmes et les communications électroniques contre les menaces cybernétiques telles que le hameçonnage, les logiciels malveillants, le spam et les violations de données. Au lieu de s'appuyer sur une infrastructure sur site, ces solutions fonctionnent dans le cloud pour surveiller et filtrer le trafic d'e-mails, détecter le contenu ou le comportement suspect et appliquer les politiques de sécurité.

En tirant parti de techniques telles que l'intelligence des menaces, l'apprentissage automatique, le filtrage du spam et l'analyse automatisée, la sécurité des e-mails cloud aide les organisations à protéger les informations sensibles et à maintenir une communication sécurisée sur des plateformes telles que Microsoft 365, Google Workspace et Gmail.

Toute organisation qui utilise des e-mails est exposée au risque, mais la façon dont ce risque se manifeste dépend beaucoup de la taille et du secteur d'activité.

Les petites entreprises ont tendance à être des cibles plus faciles. Elles manquent souvent d'équipes de sécurité dédiées, ce qui les rend plus vulnérables aux attaques courantes. Les grandes entreprises, en revanche, font face à des menaces plus sophistiquées telles que le spear phishing et la compromission des e-mails d'entreprise (BEC), où un seul e-mail bien conçu peut entraîner de graves pertes financières.

Certains secteurs sont sous encore plus de pression. Les secteurs tels que la santé, la finance, le gouvernement et les services juridiques gèrent des données sensibles et opèrent sous des réglementations strictes, ce qui les rend particulièrement attractifs pour les attaquants.

De nombreuses organisations ont également besoin de sécurité des e-mails cloud car les contrôles natifs de la plateforme peuvent ne pas suffire à eux seuls. Les entreprises de sécurité des e-mails telles qu'Abnormal Security, Sublime Security, Check Point et d'autres fournisseurs de sécurité des e-mails fournissent une protection supplémentaire, des compléments et des capacités basées sur API pour aider les organisations à rester en avance sur les attaques en évolution.

Citer cette recherche

Choisissez le format qui correspond à votre lieu de publication. Coller la version avec lien dans votre CMS préserve le lien retour.

Sedat Dogan (2026) - "Solutions de sécurité des e-mails: Acronis, Sophos & Barracuda". Publié en ligne sur AIMultiple.com. Consulté le 22 Juin 2026, à : https://aimultiple.com/email-security-solutions [Ressource en ligne]

Dogan, S. (2026, 22 Juin). Solutions de sécurité des e-mails: Acronis, Sophos & Barracuda. AIMultiple. https://aimultiple.com/email-security-solutions

@misc{dogan2026,
  author = {Dogan, Sedat},
  title  = {{Solutions de sécurité des e-mails: Acronis, Sophos & Barracuda}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/email-security-solutions}},
  note   = {AIMultiple. Consulté le 22 Juin 2026}
}
Sedat Dogan
Sedat Dogan
CTO
Sedat est un expert en technologies et sécurité de l'information, fort d'une expérience en développement logiciel, collecte de données web et cybersécurité. Sedat : - Possède 20 ans d'expérience en tant que hacker éthique et expert en développement, avec une vaste expertise des langages de programmation et des architectures serveur. - Conseille les dirigeants et membres du conseil d'administration d'entreprises dont les opérations technologiques critiques et à fort trafic sont telles que les infrastructures de paiement. - Allie un sens aigu des affaires à son expertise technique.
Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires. Les commentaires sont laissés dans leur langue d'origine.

0/450