Servizi
Contattaci

Soluzioni di sicurezza delle email: Acronis, Sophos & Barracuda

Sedat Dogan
Sedat Dogan
aggiornato il 22 giu. 2026

L'email è uno dei punti di ingresso più comuni per gli attacchi informatici e le protezioni integrate non sono più sufficienti per gestire le minacce mirate. Abbiamo testato tre piattaforme di sicurezza delle email cloud (Acronis, Sophos e Barracuda) con 100 test in 11 categorie di minacce.

Risultati del benchmark delle soluzioni di sicurezza delle email cloud

Leggi la metodologia di benchmark delle soluzioni di sicurezza delle email per scoprire come abbiamo testato questi strumenti e misurato i risultati.

Confronto delle soluzioni di sicurezza delle email basato sulle categorie di verdetto

Acronis Advanced Email Security

  • Acronis ha il punteggio di rilevamento complessivo più alto (122/200) ed è il più efficace contro il phishing GenAI al 100%. Tutti e dieci i pretest aziendali raffinati sono stati bloccati, inclusi i pre-letture falsi del consiglio di amministrazione, i flussi di nuovo consenso Microsoft 365 e i falsi accordi di riservatezza legali.
    • Questa è la categoria più difficile nel benchmark, con una difficoltà media di 8,2/10. Rilevare tutti e dieci suggerisce che Acronis ha gestito bene gli indizi semantici e contestuali del phishing in questo benchmark, piuttosto che affidarsi solo a evidenti segnali grammaticali o di formattazione.
  • La Categoria F e la Categoria D supportano anche questo quadro: Acronis ha ottenuto l'89% sull'impersonificazione di marchi/domini e il 90% sul phishing degli URL, incluso un BLOCCO nel test di iniezione dell'intestazione dei risultati di autenticazione. I risultati aggregati suggeriscono una forte gestione dei casi di impersonificazione e analisi degli URL.
  • Il registro pulito dei falsi positivi è operativamente significativo. Nessuno degli otto messaggi di controllo è stato bloccato, il che significa che il tasso di rilevamento del 67% non comporta alcun costo compensativo nella perdita di posta legittima.
  • I punti negativi sono concentrati nei livelli di difficoltà più bassi. Lo spam di base (Categoria A, 44%) è inferiore rispetto ad altri strumenti, con mancati rilevamenti per spam farmaceutico, truffe alla lotteria e una truffa romantica di base a livelli di difficoltà da 1 a 2. Il divario suggerisce che Acronis dà priorità agli attacchi sofisticati rispetto al traffico di massa a basso sforzo.

Sophos Email Security

  • Sophos ha il secondo punteggio complessivo più alto (105,5/200). Ha ottenuto il 100% nella Categoria B (varianti malware EICAR), rilevando ogni variante di nidificazione di archivi, ZIP protette da password e test di tolleranza dell'offset.
  • Le debolezze più visibili di Sophos sono il phishing degli URL (Categoria D, 58%) e le tecniche di evasione (Categoria J, 22%). Il divario nel phishing degli URL è notevole perché i link sono tra i meccanismi di consegna del phishing più comuni e la Categoria D testa diversi modi realistici in cui gli attaccanti li nascondono o li instradano.
  • Il punteggio del 58% di Sophos, rispetto al 90% di Acronis, suggerisce che il suo livello di analisi degli URL è stato meno coerente tra reindirizzamenti, offuscamento e posizionamenti di URL non nel corpo.

Barracuda Email Protection

  • Il punteggio di rilevamento di Barracuda di 60/200 è inferiore rispetto agli altri due prodotti. La Categoria I (phishing GenAI) ha restituito un rilevamento dello 0% e la Categoria A (Spam: 33%) ha il punteggio più basso tra i concorrenti. Ciò suggerisce che Barracuda è stato meno efficace in questa configurazione contro lo spam del benchmark, il phishing GenAI e gli scenari di ingegneria sociale.
  • La Categoria B (rilevamento malware noto tramite stringhe di test EICAR, 89%) e la Categoria C (tipi di file contenitori come PDF con JavaScript incorporato, HTML smuggling e collegamenti LNK, 70%) sono competitive con altri fornitori.
  • I risultati della Categoria J di Barracuda (tecniche di evasione, 44%) mostrano il migliore tra i tre fornitori. Ciò suggerisce che il motore di ispezione dei contenuti sottostante può gestire funzionalità come caratteri a larghezza zero, soggetti codificati e omografi in modo ragionevolmente efficace.
  • Le debolezze sono più evidenti nelle categorie che contano di più per la protezione dalle minacce moderne. Phishing tramite codice QR (Categoria E, 13%), impersonificazione del marchio (Categoria F, 11%), BEC (Categoria G, 11%) e ricatto (Categoria H, 22%) sono tutti ben al di sotto del confronto.
  • In tutti gli undici test di livello difficile, Barracuda ha bloccato solo uno e ha mancato i restanti dieci.

Top 3 soluzioni di sicurezza delle email cloud

Acronis Advanced Email Security analisi dettagliata

Quando selezioniamo Acronis Email Security dal menu a sinistra nell'interfaccia Acronis Cyber Protect Cloud, vediamo la seguente schermata. Quindi facciamo clic per accedere alla console di Sicurezza delle email.

Dato che non abbiamo ancora completato alcuna configurazione, la nostra dashboard mostra solo le voci di menu:

  • Incidenti: Incidenti di sicurezza rilevati e attività di attacco.
    • Risposta agli incidenti: Strumenti per investigare e rispondere agli incidenti.
    • Traffico: Visibilità sui modelli di traffico email o web scansionati.
    • Report periodici: Report di sicurezza e protezione programmati.
  • Operazioni di sicurezza: Controlli operativi di sicurezza e strumenti di monitoraggio.
  • Configurazione del rilevamento: Configurazione per le regole di rilevamento, la scansione e le impostazioni di protezione.

Dal menu Impostazioni a sinistra, andiamo su Risorse email protette.

Dato che non ci sono ancora risorse, il sistema ci reindirizza al flusso di configurazione. Facciamo clic su Configura protezione email. Il sistema ci chiede un indirizzo email di escalation per segnalare problemi e chiede quale servizio email utilizziamo.

Per questo test, procederemo con un fornitore personalizzato tramite MX. Lo facciamo per poter confrontare direttamente i fornitori, senza essere influenzati dalle protezioni integrate in Microsoft 365 o Google Workspace.

Selezioniamo il servizio email e scegliamo il metodo di connessione Inline. Ciò significa che Acronis scansiona e blocca le email dannose prima che vengano consegnate.

Aggiungiamo anche un contatto di escalation che Acronis può utilizzare per il takeover dell'account, la sicurezza o i problemi di connessione. Il passaggio successivo è abilitare l'app Google Workspace, che supporta l'onboarding, il conteggio accurato degli utenti per la fatturazione e le azioni di rimedio, come la rimozione di email dannose consegnate per errore.

Aggiungiamo il dominio connesso, aimultiple.com, e il sistema recupera automaticamente i record MX.

Impostiamo anche il metodo di calcolo della licenza su "Secondo i posti segnalati" e inseriamo 100 posti. Dopo queste impostazioni, procediamo con Avanti per continuare la configurazione MX.

Il sistema ci chiede di aggiungere un record TXT per verificare la proprietà del dominio. Aggiungiamo il record e attendiamo la verifica.

Possiamo anche gestire i server di destinazione SMTP configurati, confermare che TLS sia abilitato e utilizzare l'azione Verifica per confermare che il record TXT sia stato pubblicato correttamente. Questa pagina ci permette anche di modificare le impostazioni del server e TLS o eliminare il dominio se necessario.

Abbiamo inviato un totale di 100 email che potrebbero essere considerate dannose o spam. La dashboard mostra ora statistiche come quante email sono state scansionate, quante sono state classificate come spam, quante come dannose e quante email sono state ricevute per tipo di attacco. C'è anche una statistica che mostra quali indirizzi email sono stati attaccati più frequentemente.

Nel menu Scansioni, possiamo vedere le statistiche di scansione per tutte le email in arrivo. La suddivisione per tipo di file è anche un dettaglio utile. Inoltre, in tutta l'applicazione, possiamo regolare l'intervallo di date facendo clic su Ultimo giorno in alto nella pagina.

Il filtraggio nella sezione Scansioni è altamente dettagliato. Ecco alcune delle opzioni:

  • Indirizzo/dominio/IP del mittente: I principali indicatori per identificare mittenti dannosi o spoofati.
  • Nome visualizzato impersonato: Colpisce direttamente una delle tecniche di phishing più comuni, in cui il nome visibile sembra legittimo, ma l'indirizzo effettivo non lo è.
  • Indirizzo di risposta: Un'altra importante bandiera rossa del phishing. Quando la risposta è diversa dall'indirizzo del mittente, segnala spesso un tentativo di reindirizzare le risposte a una casella di posta controllata dall'attaccante.
  • Azione (messaggi in quarantena/consegnati): Essenziale per capire se una minaccia è stata intercettata o è arrivata al destinatario.
  • Oggetto: Per identificare campagne di phishing che utilizzano oggetti identici o quasi identici su più target.
  • Indirizzo del destinatario: Critico per determinare la portata di un attacco. Mostra quanti utenti sono stati presi di mira e se individui ad alto valore (dirigenti, finanza) erano tra loro.
  • Payload (allegati/URL): Restringe la ricerca alle email che trasportano i meccanismi di consegna malware più comuni.

Quando andiamo su Operazioni di sicurezza dal menu a sinistra, raggiungiamo la sezione Scansioni. Da questa schermata, possiamo accedere ai dettagli relativi alle scansioni. Tutte le scansioni sono elencate qui e possiamo anche vedere le categorizzazioni risultanti, come pulito, spam e dannoso.

Quando apriamo i dettagli di un'email, possiamo vedere come il sistema l'ha valutata e il suo stato attuale. Possiamo anche cambiarne lo stato in:

  • Approva verdetto (Gestisci): Accetta il verdetto corrente e elabora l'email di conseguenza.
  • Contrassegna email come limitata: Classifica l'email come limitata o in violazione delle policy.
  • Contrassegna email come Spam: Classifica l'email come indesiderata o non sollecitata.
  • Contrassegna email come Sospetta: Segna l'email come potenzialmente rischiosa e che richiede cautela.
  • Contrassegna email come Pulita (FP): Segna l'email come sicura e indica che è stato un falso positivo.

La vista sottostante è la vista compatta. Quando facciamo clic sulla scheda Dettagli in alto a destra, possiamo vedere molti dettagli aggiuntivi.

Nella vista compatta, possiamo vedere i dettagli di scansione di un'email di phishing dannosa messa in quarantena da Acronis. Include una panoramica generata dall'AI che spiega perché l'email è considerata dannosa e mostra indicatori come un dominio del mittente sospetto, comportamento di bombardamento email e un URL rischioso. Nella sezione Dettagli, possiamo verificare il canale, l'azione intrapresa, il tempo di scansione, il tempo di elaborazione, l'organizzazione e lo stato IR.

Nell'ispettore email, possiamo rivedere i metadati del messaggio, inclusi oggetto, mittente, destinatario, ora, percorso di ritorno e IP di origine. Il corpo dell'email è anche visualizzato, così possiamo valutare direttamente il tentativo di ingegneria sociale.

I criteri di valutazione degli incidenti sono chiari e trasparenti. Per un incidente, possiamo anche fare clic sul pulsante Richiedi investigazione, selezionare "Penso che questa email sia pulita" e inviarlo al team di Acronis per la revisione. Possiamo visualizzare le scansioni precedenti relative alla stessa email.

Con il pulsante Screenshot, possiamo vedere la versione renderizzata dell'email, che è una funzione molto utile. Vale la pena notare che il sistema non rende l'email come HTML nel browser, quindi qualsiasi vulnerabilità non rilevata nell'email non può innescare una violazione durante la revisione.

Tutte le azioni degli utenti possono essere registrate e possiamo visualizzare questi record nel registro di audit dal menu a sinistra. Alcuni di questi record sono:

  • Visualizza screenshot di scansione
  • Gestisci scansione
  • Azione UI

Ogni registro registra l'orario, l'azione, la descrizione, l'amministratore o il team, l'organizzazione di destinazione e l'email o l'oggetto di destinazione correlati.

Nella configurazione del rilevamento nel menu a sinistra, possiamo gestire in dettaglio le liste di consentiti e di blocco, che è una funzione molto utile:

  • Lista di consentiti per indirizzo email/dominio del mittente: Le email da indirizzi o domini in questa lista sono sempre considerate attendibili e bypasseranno i filtri spam/minacce. Questo può essere utile per mettere in whitelist partner noti o sistemi interni che potrebbero altrimenti attivare falsi positivi.
  • Lista di consentiti per indirizzo email del destinatario: Specifica gli indirizzi dei destinatari interni che dovrebbero ricevere tutta la posta in arrivo senza filtraggio. Ciò garantisce che determinati utenti (ad esempio, una casella di posta catch-all) ricevano sempre le email, anche da mittenti sconosciuti.
  • Lista di blocco per indirizzo email/dominio del mittente: Le email da indirizzi o domini in questa lista vengono automaticamente rifiutate o messe in quarantena. Può essere utilizzata per bloccare permanentemente fonti spam note, domini dannosi o mittenti di massa indesiderati.
  • Lista di consentiti per IP del mittente: I server di posta con IP in questa lista sono considerati attendibili e le loro email saltano i controlli di reputazione basati su IP. Può essere utilizzato per servizi di posta di terze parti attendibili o relay di posta on-premise.
  • Lista di blocco per IP del mittente: Le connessioni da questi IP vengono bloccate, indipendentemente dall'indirizzo del mittente. Questo può essere efficace contro server di posta dannosi noti o infrastrutture compromesse.
  • Lista di consentiti per URL: I link che corrispondono a questi URL o domini all'interno dei corpi delle email sono considerati sicuri e non verranno segnalati.
  • Lista di blocco per URL: Le email contenenti questi URL vengono segnalate, bloccate o messe in quarantena.
  • Lista di consentiti per hash: Gli allegati di file che corrispondono a questi hash crittografici sono considerati sicuri e passano senza avvisi di scansione.
  • Lista di blocco per hash: Gli allegati il cui hash corrisponde a una voce in questa lista vengono bloccati immediatamente. Questo fornisce un blocco preciso e basato sulla firma di file dannosi noti, anche se sono rinominati o camuffati.

Alcune delle funzioni che vale la pena menzionare, ma che non abbiamo testato specificamente, sono:

Nella configurazione del rilevamento:

  • Intelligence sulle minacce: Recupera indicatori da fonti esterne di intelligence sulle minacce. Questa funzione aiuta a rilevare malware di commodity diffusi, URL dannosi e campagne di attacco attive.
  • Banner: Aggiunge banner personalizzabili alle email in arrivo in base a policy e regole.
  • Utenti VIP: Consente agli amministratori di mantenere un elenco di utenti ad alto valore (dirigenti, personale finanziario, ecc.).

Nelle operazioni di sicurezza:

Takeover dell'account (ATO): Rileva caselle di posta Microsoft 365 compromesse. La funzione è progettata per intercettare gli attaccanti che utilizzano account dirottati per frodi, phishing interno ed esfiltrazione di dati.

Il motore segnala regole di casella di posta sospette (inoltrare, reindirizzare, spostare o eliminare email), accessi con viaggi impossibili e accessi da posizioni o dispositivi non familiari. Quando individua uno di questi segnali, apre un caso nella console e il team di risposta agli incidenti contatta l'amministratore per investigare insieme.

Sophos Email Security analisi dettagliata

Per iniziare con Sophos, creiamo un link di prova e siamo indirizzati alla seguente schermata. Similmente a Barracuda, Sophos ci chiede di selezionare una regione.

Il sistema ci chiede quindi quale prodotto vogliamo installare. Selezioniamo Email Security. Altri prodotti che possono essere configurati includono Endpoint Protection, Server Protection, Phish Threat, DNS Protection, Zero Trust Network Access, Protected Browser, Mobile, Wireless, Device Encryption, Firewall Management, Cloud Optix e Switches.

Invieremo 100 email e l'immagine sottostante mostra la dashboard. Include statistiche come il numero totale di email in arrivo scansionate, minacce potenziali e tipi di minacce rilevate. Ci sono anche statistiche per le email in uscita, ma non stiamo testando la sicurezza delle email in uscita in questo benchmark.

Possiamo anche vedere altri elementi della dashboard come le tendenze dell'attività email, i riepiloghi delle minacce e gli indicatori di stato di sicurezza.

Abbiamo fatto clic su Configura impostazioni gateway email. Il sistema ci chiede di verificare il nostro dominio. Quindi osserviamo un'impostazione utile in cui possiamo scegliere solo in entrata o sia in entrata che in uscita. Controlla anche le email in uscita per prevenire problemi di sicurezza.

Il sistema mostra il record DNS che dobbiamo inserire. Quindi lo aggiungiamo e procediamo.

Aggiungiamo il record TXT al DNS pubblico del dominio. Il valore TXT è un token di verifica del dominio Sophos e il TTL è impostato su 600. Dopo aver aggiunto il record DNS, attendiamo la propagazione, quindi facciamo clic su Verifica in modo che Sophos possa confermare che possediamo il dominio.

Abbiamo aggiunto il record e verificato il nostro dominio. Per la destinazione in entrata, abbiamo selezionato MX e inserito il record MX di Google Workspace: aspmx.l.google.com.

Come Barracuda, Sophos richiede l'instradamento MX. A differenza di Sophos e Barracuda, Acronis ha gestito questo processo in modo pulito tramite un API e non abbiamo dovuto modificare alcuna impostazione. Questi tipi di modifiche alla configurazione MX o simili possono causare problemi per gli amministratori di sistema. Tuttavia, per scopi di test, procediamo al passaggio successivo.

Abbiamo completato le impostazioni MX e inviato un'email di test, ma non è andata a buon fine. Dopo alcune indagini, abbiamo visto che l'errore era: "Questo indirizzo email non è stato trovato", il che era inaspettato.

Dobbiamo entrare nel pannello, aprire la sezione Caselle di posta dal menu a sinistra e aggiungere manualmente gli utenti uno per uno. Questo è un problema di usabilità che danneggia l'esperienza complessiva, poiché sia Acronis che Barracuda hanno funzionato immediatamente. Per il test, abbiamo aggiunto solo il nostro indirizzo email e abbiamo continuato i test attraverso quell'account.

La sezione Report è nel menu a sinistra. Ecco alcuni dei report che possiamo creare:

  • Riepilogo messaggi: Volume e stato complessivo delle email.
  • Report di analisi SophosLabs: Verdetto dei messaggi segnalati da utente/amministratore.
  • Riepilogo minacce Intelix: Analisi delle minacce per le email in entrata.
  • Riepilogo orario di clic: Report sull'attività di clic sui link.
  • Utenti a rischio: Dipendenti più vulnerabili.
  • Riepilogo controllo dati: Corrispondenze delle policy di perdita di dati.
  • Riepilogo post-consegna: Email rimosse dopo la consegna.
  • Riepilogo utilizzo licenza: Utilizzo della licenza di sicurezza delle email.

Quando andiamo su Sicurezza delle email > Cronologia messaggi, possiamo vedere tutte le email in arrivo e come ciascuna è stata classificata. Questo report di Cronologia messaggi elenca le email individuali elaborate da Sophos Email Security. Alcuni campi chiave sono:

  • Mittente: Da chi sembrava provenire l'email.
  • Destinatari: Chi ha ricevuto il messaggio.
  • Tipo: Come l'email è entrata nel sistema, solitamente Gateway.
  • Oggetto: La riga dell'oggetto dell'email.
  • Ultimo stato: Cosa ha fatto Sophos con essa, come Consegnato, Eliminato o Messa in quarantena.
  • Data: Quando l'email è stata elaborata.
  • Categoria: Classificazione di Sophos, come Legittimo, Spam, Malware, Minaccia Intelix o Autenticazione.

Alcuni esempi dalle categorie sono:

  • Legittimo: Email normali che sono state consentite.
  • Spam: Email sospette o indesiderate; molte sono messe in quarantena.
  • Malware: Email pericolose contenenti contenuti dannosi; queste vengono eliminate.
  • Minaccia Intelix: Email analizzate da Sophos Intelix che sono state trovate sospette o minacciose.
  • Messa in quarantena: L'email è stata bloccata e messa in quarantena per la revisione.
  • Eliminato: L'email è stata rimossa invece di essere consegnata.

I filtri sottostanti consentono agli utenti di restringere il registro email per categoria di messaggio:

  • Legittimo: Email normali consentite.
  • Messaggio sicuro: Email crittografate o protette.
  • Controllo dati: Email che corrispondono alle regole di sicurezza/perdita di dati.
  • Errore di autenticazione: Controlli SPF, DKIM o DMARC falliti.
  • Impersonificazione: Possibile spoofing del mittente o frode di identità.
  • Massa: Email di marketing di massa o automatizzate.
  • Spam: Email indesiderate o sospette.
  • URL/Codice QR: Email con link o codici QR rischiosi.
  • Minaccia Intelix: Email segnalate dall'analisi delle minacce di Sophos.
  • Non scansionabile: Email che Sophos non ha potuto ispezionare completamente.
  • Malware: Email contenenti file o contenuti dannosi.
  • Bloccato dall'azienda: Email bloccate dalla policy aziendale.

Il menu Caselle di posta mostra le caselle di posta monitorate. Aprendo una casella di posta, possiamo selezionare quali policy applicare. Sotto Policy di base - Sicurezza delle email, sono disponibili le seguenti impostazioni:

L'autenticazione include controlli di autenticazione delle email per i messaggi in arrivo. Possiamo configurare come Sophos gestisce i fallimenti DMARC, SPF e DKIM, comprese azioni come conformarsi alla policy del mittente o contrassegnare la riga dell'oggetto con un avviso.

Includere anche controlli del mittente per anomalie delle intestazioni e anomalie del dominio, che aiutano a rilevare email che sembrano provenire dal proprio dominio o da domini sospetti senza record DNS appropriati. Possiamo anche abilitare banner per gli utenti finali per mostrare ai destinatari il livello di fiducia dei messaggi in arrivo e aiutarci a decidere se consentire o bloccare i mittenti.

Anti-malware gestisce la scansione anti-malware in entrata per i messaggi email. Possiamo scegliere l'azione predefinita per i rilevamenti di malware, come Elimina, e abilitare la scansione avanzata del malware per un'analisi più approfondita dei contenuti e dei file.

Consente anche il controllo sulle email non scansionate e sull'analisi delle minacce Intelix, dove Sophos può utilizzare l'analisi statica e dinamica per classificare i messaggi sospetti. In base al verdetto, possiamo definire azioni come eliminare, consegnare o gestire diversamente le email dannose e sospette.

Anti-spam gestisce come Sophos gestisce lo spam e le email di massa. Possiamo impostare azioni per categorie come Spam confermato e Massa, inclusa la messa in quarantena dei messaggi e decidere se appaiono nella quarantena dell'utente finale.

Includere anche uno slider di rilevamento dello spam personalizzabile, dove livelli più alti aumentano l'aggressività del rilevamento dello spam.

Nuovo dominio/mittente include protezioni per domini di recente registrazione e nuovi mittenti. Possiamo abilitare controlli per le email inviate da domini creati di recente, che sono spesso utilizzati nelle campagne di phishing.

Consente anche di mostrare un banner Nuovo mittente quando un destinatario non ha ricevuto email da quel mittente in precedenza.

Il paese di origine consente di controllare le email in base al paese del mittente. Paesi specifici possono essere selezionati da un elenco e le email corrispondenti possono essere messe in quarantena o gestite in conformità con la policy.

C'è anche un'opzione per controllare ogni hop del messaggio, che aiuta a ispezionare il percorso che un'email ha fatto prima di raggiungere il destinatario.

La lingua gestisce il filtraggio per lingua del messaggio. Possiamo selezionare lingue specifiche che vogliamo non consentire e scegliere l'azione che Sophos dovrebbe intraprendere, come mettere in quarantena i messaggi corrispondenti.

La funzione di protezione dall'impersonificazione abilita controlli per tentativi di impersonificazione VIP, di marchio e generali.

Per la protezione URL e codice QR, possiamo controllare le email per URL e codici QR dannosi. Sophos può scansionare i link ed estrarre gli URL dai codici QR per rilevare le minacce prima che gli utenti interagiscano con essi.

Gestisce anche la protezione URL al momento del clic, dove i link vengono riscritti e controllati quando l'utente fa clic su di essi.

Nel menu a sinistra, la sezione Messaggi in quarantena mostra tutte le email in cui è stata rilevata una minaccia. Possiamo filtrare per:

  • Anti-malware: Email segnalate durante la scansione del malware. Questo include messaggi con allegati pericolosi, contenuti dannosi o elementi che Sophos non ha potuto ispezionare completamente:
    • Malware: Email confermate contenenti file, link o contenuti dannosi. Questi vengono solitamente eliminati o messi in quarantena.
    • Non scansionabile: Email che Sophos non ha potuto ispezionare correttamente, ad esempio a causa di crittografia, corruzione, allegati protetti da password o tipi di file non supportati.
  • Anti-spam: Email classificate attraverso regole di rilevamento dello spam:
    • Massa: Email inviate in massa come newsletter, campagne di marketing o notifiche automatizzate.
    • Spam confermato: Email identificate con sicurezza come spam. Queste sono solitamente messe in quarantena o bloccate.
    • Spam sospetto: Email che sembrano sospette ma non sono spam confermate. Possono essere messe in quarantena, contrassegnate o consegnate a seconda della policy.
    • Impersonificazione: Email che potrebbero fingere di provenire da una persona, un marchio, un dominio o un mittente interno attendibile.
    • Paese non consentito: Email bloccate o messe in quarantena perché originate da un paese limitato dalla policy.
    • Lingua non consentita: Email bloccate o messe in quarantena perché la loro lingua rilevata non è consentita dalla policy.
    • BATV: Email relative alla Validazione del tag dell'indirizzo di rimbalzo, utilizzata per aiutare a rilevare messaggi di rimbalzo contraffatti o spam di backscatter.
    • Nuovo dominio/NRD: Email da domini di recente registrazione, che sono spesso utilizzati nel phishing o in campagne di attacco a breve termine.
  • Autenticazione: Email filtrate in base ai controlli di autenticazione del mittente come fallimenti SPF, DKIM o DMARC.

Quando facciamo clic su un'email, possiamo vedere i messaggi che spiegano perché è stata messa in quarantena. Possiamo eliminarla e bloccare il mittente, rilasciare il messaggio dalla quarantena o rilasciarlo e consentire messaggi simili in futuro.

Nella sezione Intestazione grezza, possiamo visualizzare tutte le informazioni di intestazione per l'email. Possiamo anche visualizzare i suoi allegati e gli URL contenuti nel messaggio. Questo non è apparso sufficientemente dettagliato nella nostra valutazione. Acronis e Barracuda hanno fornito un'esperienza più completa e informativa in questo senso.

Nella scheda Messaggio, possiamo visualizzare il contenuto dell'email così com'è, il che può essere insicuro. Sarebbe meglio se potessimo vedere il contenuto dell'email come uno screenshot, come abbiamo osservato in Acronis.

Ci sono solo 23 email qui perché queste sono state contrassegnate come spam, mentre altre sono state rifiutate direttamente. In breve, il sistema mette in quarantena le email contrassegnate come spam.

Quando vogliamo esportare tutte le email in arrivo, non possiamo farlo direttamente dalle schermate dei report. Dobbiamo creare un report personalizzato dai Log delle email, quindi aprirlo, selezionare Genera report, scegliere CSV e infine esportare tutto come CSV. Questo flusso di lavoro sembra inutilmente indiretto e non user-friendly.

Barracuda Email Protection analisi dettagliata

Dopo aver ottenuto una prova da Barracuda, siamo passati al pannello, abbiamo fatto clic su Apri per la protezione delle email e abbiamo proceduto.

Sotto Disponibile nella tua prova, possiamo vedere i prodotti principali inclusi:

  • Protezione delle email: Previene le minacce delle email, protegge le email prima e dopo la consegna e automatizza la risposta agli incidenti delle email.
  • Backup cloud-to-cloud: Esegue il backup dei dati Microsoft 365.
  • Ispezionatore dati: Trova dati sensibili e malware non rilevati in OneDrive e SharePoint.
  • Formazione sulla consapevolezza della sicurezza: Addestra i dipendenti sulle minacce alla sicurezza delle email.
  • Servizio di archiviazione cloud: Attiva la conservazione delle email per la conformità e l'e-discovery.

Dato che non avevamo ancora configurato domini o impostazioni correlate, il sistema ci ha portato direttamente alla procedura guidata di configurazione, che è una funzione utile per configurare le impostazioni delle email.

Quando abbiamo fatto clic su Avanti, il sistema ci ha costretto a connettere un account Microsoft 365. Tuttavia, utilizziamo Google Workspace e stiamo valutando il servizio per quell'ambiente.

In seguito abbiamo scoperto che Barracuda supporta Google Workspace. Abbiamo continuato con la configurazione standard.

Il sistema ci ha chiesto di selezionare una regione dei dati. Questa è una funzione importante per la conformità GDPR, quindi abbiamo selezionato la Germania e abbiamo continuato.

Barracuda in seguito ci ha chiesto di inserire un indirizzo email appartenente al nostro dominio e verificare i nostri record MX. Abbiamo fatto clic solo sul pulsante di verifica e non abbiamo eseguito alcuna azione aggiuntiva. Il sistema ha verificato i record con successo.

Durante le fasi successive della nostra configurazione, abbiamo scoperto che Barracuda mancava di un'integrazione nativa con Google Workspace. Invece, ci ha fornito nuovi record MX da sostituire con quelli esistenti. Quando aggiorniamo questi record MX, le email in arrivo sembrano raggiungere prima Barracuda.

Barracuda filtra quindi le email inappropriate e inoltra quelle accettabili. Richiedere modifiche ai record MX per l'integrazione con Google Workspace è un approccio povero.

Dopo di ciò, abbiamo aggiornato i record MX e li abbiamo verificati. Abbiamo completato la configurazione e abbiamo iniziato a inviare email.

Mentre inviavamo le email, abbiamo osservato che Barracuda ha rifiutato alcune richieste SMTP e ha rifiutato alcuni allegati. Quando abbiamo eseguito lo stesso test con Acronis, tutte le email sono state consegnate e visibili nel sistema. Qui, Barracuda rifiuta alcune email prima che appaiano nella dashboard.

Anche se le rifiuta perché sono genuinamente dannose, perdiamo visibilità a causa di questo processo automatizzato. In altre parole, potremmo non sapere nemmeno se un attacco è arrivato ed è stato rifiutato. Questa è una sfida per l'uso di Barracuda per la sicurezza delle email, poiché la visibilità è tutto nei contesti di sicurezza. Se un prodotto rifiuta arbitrariamente gli incidenti e li rende invisibili, danneggia il team di sicurezza.

Nonostante queste sfide, tutte le email di test sono state inviate. Nella dashboard di Barracuda, siamo indirizzati alla schermata Registro messaggi, dove sono elencate tutte le email scansionate.

La sezione Registro messaggi include un'area di filtraggio in alto. Ecco le opzioni di filtraggio:

  • Ricerca: Ricerca testuale su messaggi, destinatari, mittenti e altri campi.
  • Dominio: Filtra i risultati per il dominio selezionato.
  • Direzione: Filtra per direzione email; In entrata o In uscita.
  • Intervallo di data/ora: Limita i risultati a una finestra temporale specifica.
  • Azione intrapresa: Filtra per l'azione intrapresa, ad esempio Consentito, Bloccato, Posticipato.
  • Stato di consegna: Filtra per se l'email è stata consegnata, fallita, messa in quarantena, ecc.
  • Motivo: Filtra per il motivo di rilevamento che ha attivato un'azione (ad esempio, Punteggio, DMARC, Antivirus, Contenuto protetto).
  • Risultati: Controlla quanti record vengono visualizzati per pagina.

Possiamo segnalarlo come classificato erroneamente. Ad esempio, l'email sottostante è sicura ma classificata erroneamente come dannosa. Abbiamo segnalato l'email come sicura.

L'email sottostante è bloccata, ma la dashboard non fornisce ulteriori dettagli. Pertanto, Barracuda è carente in quest'area. Sarebbe più utile se potessimo vedere più informazioni sul motivo per cui il messaggio è bloccato, oltre al punteggio di blocco.

Nella sezione Domini a sinistra, possiamo visualizzare, aggiungere ed eliminare i domini che vogliamo includere nella protezione delle email, che sono funzioni standard.

All'interno del menu In entrata a sinistra, Barracuda fornisce i filtri utilizzati per questi controlli. Possiamo configurare questi filtri.

Ad esempio, sotto Impostazioni Anti-Spam/antivirus, possiamo configurare:

  • Usa lista di blocco reputazione Barracuda: Controlla la posta in arrivo rispetto al database di Barracuda dei mittenti dannosi noti. Può essere impostato su Block, Quarantena o Off.
  • Scansiona email per virus: Abilita o disabilita la scansione dei virus su tutte le email in arrivo.
  • Usa sistema in tempo reale Barracuda: Incrocia le email con il feed di intelligence sulle minacce in tempo reale di Barracuda. Può essere bloccato, messo in quarantena o disattivato. Opzionalmente invia contenuti sospetti a Barracuda Central per un'analisi più approfondita.
  • Abilita cloudscan: Scarica il punteggio dello spam sul motore cloud di Barracuda. I punteggi vanno da 1 a 10; le email che superano la soglia attivano l'azione configurata.
  • Categorizzazione delle email: Classifica le email in arrivo per tipo e applica un'azione per categoria. Le categorie includono Email aziendale, Email transazionale, Materiali di marketing e Newsletter, Liste di distribuzione e Social Media, ciascuna impostata indipendentemente su Consentito, Messa in quarantena, Block o Off.
  • Rilevamento email di massa: Rileva e agisce sulle email inviate in massa. Quando è impostato su Off, le email di massa non vengono filtrate separatamente.
  • Esenzioni email di massa: Consente a specifici indirizzi email o domini di bypassare il rilevamento delle email di massa, definito per mittente o destinatario.

Le pagine di Limite di velocità definiscono quante email un indirizzo IP del mittente può inviare in ogni periodo di 30 minuti, che è un'impostazione utile. Può prevenire abusi delle email e attacchi ad alto volume improvvisi da un singolo IP del mittente.

Limitando quante email un indirizzo IP può inviare in un periodo di 30 minuti, il sistema può ridurre l'impatto di:

  • Campagne spam
  • Burst di phishing
  • Distribuzione di malware
  • Account o server di mittenti compromessi
  • Inondazione di email in stile denial-of-service

Nella pagina Whitelist/Blacklist IP, possiamo bypassare la scansione per le email provenienti da indirizzi IP specifici o bloccarle direttamente.

Nelle policy regionali, possiamo applicare il blocco o la whitelist geografica. Possiamo anche bloccare o consentire le email in base alla lingua del contenuto.

Nelle policy dei destinatari, possiamo configurare regole di scansione o bypass in base all'indirizzo email del destinatario.

Barracuda fornisce anche policy simili per i mittenti. Possiamo applicare eccezioni in base al mittente.

C'è anche una dashboard dove possiamo definire eccezioni in base a controlli di sicurezza delle email standard come DMARC, DKIM e SPF.

Nelle policy dei contenuti, possiamo configurare se scansionare o bypassare le email in base al nome del file o al tipo di file. Possiamo anche definire regole di scansione o bypass in base al contenuto del corpo del messaggio utilizzando espressioni regolari.

Barracuda fornisce la protezione avanzata dalle minacce come abbonamento in aggiunta al normale antivirus. La protezione avanzata dalle minacce (ATP) è un servizio di scansione basato sul cloud che analizza gli allegati delle email in un ambiente cloud sicuro per rilevare le minacce che gli antivirus standard potrebbero perdere. Si applica solo ai messaggi in entrata e supporta la maggior parte dei tipi di file MIME.

Ci sono tre modalità in ATP:

  1. Consegna prima, poi scansiona tenta di scansionare l'allegato in tempo reale quando arriva l'email. Se la scansione si completa in tempo e viene rilevata una minaccia, l'email viene bloccata. Se la scansione non si completa in tempo, l'email viene consegnata immediatamente senza attendere il risultato. La scansione continua in background e, se viene trovata una minaccia in seguito, il destinatario viene notificato, ma l'email è già arrivata nella sua casella di posta. Ciò significa che il destinatario potrebbe aprire un allegato infetto prima che la minaccia venga identificata.
  2. Scansiona prima, poi consegna scansiona l'allegato prima della consegna. Se viene rilevata una minaccia, l'email viene bloccata. Se pulita, viene consegnata. Le email in attesa di scansione appaiono nel Registro messaggi con "Scansione in sospeso" come motivo. Se un messaggio rimane posticipato per più di quattro ore, viene messo in quarantena. Questa modalità è più sicura ma può ritardare la consegna.
  3. Disabilitato: ATP è completamente spento.

Il compromesso chiave qui è tra velocità e sicurezza. "Consegna prima" dà priorità alla velocità di consegna ma introduce una finestra di rischio. "Scansiona prima" elimina quel rischio ma può ritardare o posticipare i messaggi con allegati.

Nella sezione Report, Barracuda crea report dettagliati sulla sicurezza delle email:

  • Riepilogo traffico in entrata/in uscita: Panoramica di tutta l'attività delle email in entrata e in uscita, suddivisa per posticipato, bloccato, messo in quarantena e consentito.
  • Suddivisione email in entrata bloccate: Suddivisione dettagliata del motivo per cui le email in entrata sono state bloccate.
  • Migliori mittenti/destinatari di email in entrata: Mostra i mittenti/destinatari più frequenti di email in entrata.
  • Suddivisione migliori mittenti di email in entrata bloccate: Elenca i mittenti le cui email sono bloccate più frequentemente, con motivazioni.
  • Suddivisione migliori destinatari di email in entrata bloccate: Mostra i destinatari interni che sono presi di mira più frequentemente dalle email bloccate.
  • Migliori mittenti di email in uscita: Panoramica degli utenti interni che inviano il volume più alto di email in uscita.
  • Migliori mittenti di email in uscita bloccate: Mostra gli utenti interni le cui email in uscita sono bloccate più frequentemente.

Inoltre, possiamo programmare report automatizzati, che è una funzione utile. Invece di accedere ripetutamente per controllare le dashboard, possiamo ricevere riepiloghi regolari di minacce, messaggi in quarantena, tendenze spam, rilevamenti malware, tentativi di impersonificazione, azioni delle policy e rischi degli utenti. I report programmati possono anche aiutare gli utenti a identificare i modelli in anticipo, come un aumento delle email di phishing, attacchi ripetuti contro utenti specifici o un aumento degli allegati dannosi bloccati.

Il menu Syslog a sinistra ci permette di inoltrare tutti questi record a un server di log di nostra scelta. Questa è una funzione utile per le integrazioni SIEM.

Complessivamente, il prodotto offre una vasta gamma di funzioni, ma è sottoperformante nel rilevamento delle minacce. Una parte significativa della configurazione è lasciata all'utente, sollevando la domanda se il valore aggiunto giustifichi l'overhead, in particolare per le organizzazioni che utilizzano già Google Workspace o Microsoft 365 Compliance Center.

Funzioni chiave delle soluzioni di sicurezza delle email cloud

Le soluzioni di sicurezza delle email cloud analizzano il comportamento degli utenti, rilevano anomalie contestuali, automatizzano la risposta e il rimedio alle minacce e si integrano con l'ecosistema di sicurezza più ampio. Le funzioni chiave includono:

Rilevamento delle minacce basato sull'AI

I sistemi di sicurezza delle email cloud analizzano il contesto del messaggio, la cronologia del mittente e l'intento per segnalare attacchi di phishing e tentativi di impersonificazione che sembrano legittimi in superficie. Ciò include l'identificazione di segnali sottili come domini simili o modelli di tempistica insoliti.

I segnali comportamentali contano quanto il contenuto. Tracciando le abitudini di comunicazione normali, questi sistemi possono rilevare anomalie, come un dipendente finanziario che riceve improvvisamente richieste di pagamento urgenti da un nuovo mittente esterno. Questo approccio è particolarmente importante per rilevare il compromesso dell'email aziendale (BEC), dove non ci sono malware da scansionare e nessun evidente segnale di allarme.

Architettura di protezione multilivello

Le piattaforme di sicurezza delle email cloud combinano più livelli di ispezione per intercettare le minacce che sfuggono a un controllo.

  • L'analisi statica controlla gli indicatori noti, mentre il sandboxing dinamico osserva il comportamento degli allegati in un ambiente controllato.
  • L'ispezione degli URL svolge anche un ruolo chiave, in particolare per l'identificazione di link dannosi che si attivano solo dopo la consegna.
  • I protocolli di autenticazione come SPF, DKIM e DMARC aiutano a validare l'identità del mittente, riducendo il rischio di spoofing.

Insieme, questi livelli creano un sistema in cui ogni componente compensa le limitazioni degli altri.

Protezione contro le minacce emergenti

Gli attaccanti fanno sempre più affidamento sull'inganno piuttosto che sugli exploit tecnici. Le tattiche di ingegneria sociale sono progettate per mettere pressione sugli utenti affinché prendano decisioni rapide, spesso imitando dirigenti o fornitori fidati.

Ciò include campagne mirate come il phishing mirato, in cui i messaggi sono adattati a un individuo o a un ruolo specifico. Scenari più avanzati coinvolgono messaggi vocali deepfake o tentativi di frode con fatture.

Queste minacce avanzate non si basano su file dannosi. Invece, sfruttano la fiducia, rendendo il rilevamento dipendente dal contesto e dall'intento piuttosto che dalle firme.

Rilevamento in tempo reale e risposta automatizzata

Una volta che un messaggio dannoso raggiunge una casella di posta, la finestra per il danno è limitata. I sistemi di sicurezza analizzano le email man mano che arrivano e agiscono immediatamente quando una minaccia è confermata.

L'automazione riduce il carico sui team di sicurezza rimuovendo i messaggi dannosi in tutte le caselle di posta interessate, anche dopo la consegna. Questo limita la diffusione di attacchi che si basano sull'inoltro interno o sulle catene di risposta.

I flussi di lavoro di risposta possono anche attivare azioni più ampie, come l'isolamento degli account o l'aggiornamento delle regole di rilevamento in base a nuove intelligence.

Monitoraggio continuo e protezione post-consegna

Il filtraggio iniziale non intercetta tutto. Le tecniche di attacco evolvono e alcune minacce sono riconosciute solo dopo che emergono nuovi indicatori.

  • Il monitoraggio continuo consente ai sistemi di riesaminare i messaggi consegnati e rimuovere le minacce appena identificate. Questo è fondamentale per gli attacchi che utilizzano payload ritardati o consegne a più stadi.
  • Il rimedio post-consegna garantisce che le email precedentemente perse non rimangano nelle caselle di posta una volta classificate come dannose.

Continuità e resilienza delle email

La sicurezza non riguarda solo il blocco delle minacce. La disponibilità conta altrettanto. Se l'accesso alle email viene interrotto, le operazioni aziendali possono fermarsi.

Le funzioni di continuità basate sul cloud forniscono accesso di backup durante i guasti e supportano il recupero rapido di messaggi e account. Questo garantisce che l'email aziendale rimanga disponibile anche durante interruzioni del servizio o attacchi.

Scopri altri nostri benchmark e approfondimenti basati sui dati nella Ricerca Google.
GoogleAggiungi come fonte preferita

Capacità distintive delle piattaforme di sicurezza delle email cloud

Sicurezza incentrata sull'utente (livello umano)

Molti incidenti iniziano con un'azione dell'utente. Ecco perché le moderne piattaforme di sicurezza delle email includono strumenti che guidano il comportamento piuttosto che affidarsi solo al filtraggio.

  • I banner di avviso contestuali possono avvisare gli utenti quando un messaggio sembra sospetto.
  • La formazione sta diventando anche più adattiva. Invece di simulazioni generiche, gli utenti ricevono indicazioni adattate ai loro modelli di interazione.

Integrazione della piattaforma e sicurezza unificata

L'email non esiste in isolamento. Fa parte di un ambiente più ampio che include endpoint, identità e applicazioni. L'integrazione con sistemi di endpoint e identità consente risposte coordinate. Ad esempio, se un'email porta al furto di credenziali, il sistema può attivare azioni oltre la casella di posta.

I dashboard centralizzati offrono ai team una visione più chiara della loro postura di sicurezza complessiva, riducendo la disinformazione tra gli strumenti.

Protezione dei dati, crittografia e conformità

L'email spesso trasporta contratti, dettagli finanziari e altri dati sensibili. Proteggere queste informazioni richiede più del rilevamento delle minacce.

  • La crittografia garantisce che i messaggi rimangano privati in transito e a riposo. Le policy di prevenzione della perdita di dati aiutano a prevenire la condivisione non autorizzata, sia accidentale che intenzionale.
  • Le funzioni di conformità supportano i requisiti normativi, inclusi i registri di audit e le policy di conservazione. Questo è particolarmente rilevante per le organizzazioni che operano attraverso i confini e gestiscono dati soggetti a regole legali o specifiche del settore rigorose.

Metodologia di benchmark delle soluzioni di sicurezza delle email cloud

Abbiamo fatto il benchmark di tre prodotti di sicurezza delle email: Acronis Advanced Email Security (alimentato da Perception Point), Sophos Email Security e Barracuda Email Protection.

Il benchmark ha incluso 100 test end-to-end e ha seguito quattro principi.

  1. Guidato dalla copertura: Ogni test mappa una capacità che il fornitore dichiara pubblicamente di fornire.
  2. Ponderato per difficoltà: Mancare un semplice test 1/10 segnala una grave lacuna nel prodotto. Mancare un test 9/10 è più comprensibile perché quei casi riflettono problemi di rilevamento di livello esperto. Il metodo di punteggio separa questi casi piuttosto che trattare tutti i mancati rilevamenti allo stesso modo.
  3. Riproducibile: Il benchmark viene eseguito con un harness di test PHP autonomo e controllato da una suite di verifica separata. Prima che venga inviata qualsiasi email di test, il verificatore esegue oltre 1.800 controlli per confermare che i payload di test siano completi, validi e configurati correttamente.
  4. Etico: I test malware utilizzano la stringa di test antivirus EICAR. Gli URL di phishing puntano a infrastrutture di canarino inerti o inesistenti. Tutte le caselle di posta di test sono di proprietà del team di test.

Abbiamo selezionato i test in modo che le dichiarazioni pubbliche di ciascun fornitore fossero esercitate almeno una volta. La priorità era testare le minacce che tutti e tre i fornitori dichiarano di rilevare, il che mantiene il confronto testa a testa equo. Abbiamo anche incluso un numero minore di casi specifici del fornitore quando erano rilevanti. Ad esempio, l'hijacking della conversazione è una rivendicazione fondamentale di Barracuda, il rilevamento del phishing tramite codice QR è rivendicato esplicitamente da Acronis Advanced Email Security e gli esche GenAI in stile deepfake sono più spesso promossi dai fornitori AI-first.

Il benchmark è organizzato in undici categorie. Ogni categoria testa un diverso meccanismo di rilevamento. I conteggi dei test sono mostrati tra parentesi, con 100 test in totale.

Categoria A: Spam (9 test)

Questa categoria copre annunci farmaceutici di massa, email di pump-and-dump di criptovalute, truffe alla lotteria, prestiti payday, apertori di piattaforme di incontri e outreach freddo B2B SEO.

La maggior parte dei test in questa categoria è intenzionalmente facile. Due test, graymail marketing e outreach freddo B2B, si trovano più vicino al confine dei falsi positivi perché il filtraggio aggressivo può bloccare email aziendali legittime.

Categoria B: Malware noto utilizzando la stringa di test EICAR (9 test)

Questa categoria testa la consegna EICAR attraverso formati di allegato comuni e nidificati:

  • Allegato .txt semplice,
  • ZIP regolare,
  • ZIP protetto da password con la password inclusa nel corpo dell'email,
  • ZIP nidificato all'interno di un altro ZIP,
  • EICAR con estensione .exe per testare la gestione della discrepanza tra estensione e contenuto,
  • .tar.gz, archivio ricorsivo a tre livelli,
  • File singolo .gz senza wrapper tar,
  • EICAR con quattro kilobyte di spazzatura prepended per testare la tolleranza dell'offset.

Questi test esercitano lo sblocco degli archivi, il supporto dei formati e l'estrazione della password dal corpo dell'email. Queste sono capacità di base per i gateway delle email moderni.

Categoria C: Tipi di file contenitori (10 test)

Questa categoria testa i formati di file comunemente utilizzati per trasportare o attivare comportamenti dannosi. L'insieme include:

  • PDF con JavaScript incorporato e un trigger OpenAction,
  • HTML smuggling utilizzando URL.createObjectURL su un blob codificato in Base64,
  • SVG con script onload e XHR remoto,
  • Collegamento Windows .lnk con payload PowerShell nel blocco degli argomenti,
  • File poliglotta PDF/ZIP,
  • Applicazione HTML .hta con VBScript,
  • Dropper JavaScript Windows Script Host che utilizza XMLHTTP e ADODB.Stream,
  • Immagine ISO 9660 contenente EICAR,
  • File Internet Shortcut .url,
  • File Excel Internet Query .iqy.

Questa è una delle categorie più discriminanti perché i risultati del prodotto variano ampiamente tra questi tipi di contenitori.

Categoria D: Phishing degli URL (10 test)

Questa categoria misura l'analisi degli URL attraverso link diretti, reindirizzamenti, offuscamento e posizioni non nel corpo. Include:

  • URL di phishing diretto su un TLD sospetto,
  • Destinazione abbreviata da Bitly,
  • Catena di reindirizzamento multi-hop attraverso il reindirizzatore aperto di Google e t.co,
  • Omografo IDN Punycode utilizzando "а" cirillico in раypal.com,
  • URL nascosto HTML utilizzando caratteri a larghezza zero e testo bianco di un pixel,
  • URL presente solo all'interno di un'annotazione PDF,
  • URI che trasporta HTML codificato in Base64 con un link di phishing,
  • URL estremamente lungo con l'host reale sepolto nella stringa di query,
  • Parametro di reindirizzamento aperto su un host che sembra legittimo,
  • URL cache Google AMP che nasconde la destinazione del phishing dietro google.com/amp/s/.

Categoria E: Phishing tramite codice QR (8 test)

Questa categoria testa se i prodotti possono estrarre e ispezionare gli URL di phishing nascosti all'interno dei codici QR. L'insieme include:

  • Codici QR PNG inline per il re-reenrollment MFA,
  • Firma DocuSign,
  • Accesso alla busta paga,
  • Avviso di ridelivery della spedizione
  • Accesso alla segreteria telefonica
  • Reset 2FA bancario.

Includono anche varianti di evasione: un codice QR incorporato all'interno di un PDF senza contenuto QR nel corpo dell'email, un codice QR consegnato come immagine avvolta in SVG e un codice QR impostato come URI di dati per l'immagine di sfondo CSS invece di un tag <img>.

Questi casi testano se lo scanner esamina le immagini al di fuori dei contenitori HTML più ovvi.

Categoria F: Impersonificazione di marchi e domini (9 test)

Questa categoria testa l'impersonificazione del mittente, del dominio, del marchio e dell'intestazione e include:

  • Spoofing del nome visualizzato da un account Gmail generico,
  • Dominio typosquat utilizzando m1crosoft-account.com,
  • Omografo IDN punycode per Apple
  • Abuso di sottodominio attraverso microsoft.support-team-portal.tk
  • Imitazione del kit del marchio Microsoft utilizzando il logo reale e lo stile Segoe UI
  • Discrepanza tra mittente e intestazione Da
  • Impersonificazione di una banca locale
  • Typosquatting di un'azienda di e-commerce
  • Iniezione dell'intestazione Authentication-Results in cui l'attaccante aggiunge valori spf=pass, dkim=pass e dmarc=pass contraffatti al messaggio.

L'ultimo caso testa se i parser a valle si fidano delle intestazioni di autenticazione fornite dall'attaccante piuttosto che validare i risultati a monte effettivi.

Categoria G: BEC e phishing mirato senza payload (9 test)

Questa categoria si concentra sull'ingegneria sociale senza allegati o link dannosi e include:

  • Richiesta di bonifico del CEO inviata da un account Gmail,
  • Pretesto di modifica bancaria Vendor Email Compromise,
  • Reindirizzamento stipendio self-service dipendente,
  • Truffa della carta regalo online da un impersonatore CFO
  • Hijacking della conversazione utilizzando un oggetto Re:Re: e intestazioni In-Reply-To contraffatte,
  • Richiesta di prova confidenziale da uno studio legale falso,
  • Outreach di head-hunter esterno con un curriculum allegato,
  • Pretesto di takeover dell'autenticazione a due fattori WhatsApp,
  • Pretesto interno M&A che combina linguaggio di riservatezza con urgenza.

Categoria H: Ricatti e truffe (9 test)

Questa categoria copre modelli comuni di truffa e ricatto. I test includono:

  • Email che utilizza una vecchia password trapelata,
  • Falsa fattura con un link di pagamento dannoso in un PDF,
  • Lettera di anticipo,
  • Minaccia di confisca da parte dell'autorità fiscale,
  • Ricatto DDoS contro un sito web,
  • Falso avviso di blocco iCloud Apple con un link di sblocco,
  • Truffa dei dazi doganali del corriere
  • Ricatto doxing,
  • Truffa del parente bloccato in dogana.

Categoria I: Phishing di qualità GenAI (10 test)

Questa categoria testa email di phishing raffinate che rimuovono i segnali ovvi su cui spesso fanno affidamento i sistemi più vecchi. L'insieme include:

  • Email di re-verifica dell'helpdesk IT con passaggi strutturati e un pulsante del marchio,
  • Pre-letture falsi del consiglio di amministrazione con linguaggio di riservatezza e un link workspace,
  • Aggiornamento della policy del tenant Microsoft 365 che richiede un nuovo consenso entro sette giorni,
  • Richiesta di firma elettronica del Codice di condotta HR,
  • Follow-up del successo del cliente dopo una riunione fittizia,
  • Impersonificazione del riepilogo della riunione,
  • NDA legale da una controparte fittizia,
  • Avviso CISO-style su CVE critico,
  • Anteprima degli utili delle relazioni con gli investitori con linguaggio di embargo,
  • Risoluzione dei conflitti di calendario che richiede un accesso SSO una tantum.

Ogni email in questa categoria è stata scritta per sembrare un messaggio aziendale competente in inglese nativo. I test evitano deliberatamente i vecchi segnali di phishing come grammatica rotta, formulazioni goffe e evidenti discrepanze di marchio.

Categoria J: Tecniche di evasione (9 test)

Questa categoria testa l'offuscamento che può rompere l'ispezione dei contenuti superficiale e include:

  • Caratteri Unicode a larghezza zero all'interno di parole trigger,
  • Bypass OCR in cui l'intero messaggio di phishing è renderizzato come un PNG senza testo del corpo scansionabile,
  • Carattere di sovrascrittura da destra a sinistra in un nome di file allegato,
  • Nome file con doppia estensione,
  • Esca nascosta CSS in cui il testo renderizzato appare innocuo mentre il DOM contiene il contenuto del phishing,
  • Oggetto codificato RFC 2047 encoded-word,
  • URL con caratteri esadecimali codificati nell'host,
  • Oggetto omografo utilizzando "е" cirillico per "e" latino,
  • URL nascosto in un attributo HTML data-* e recuperato al momento del clic da JavaScript inline.

Categoria K: Set di controllo e test dei falsi positivi (8 test)

Il set di controllo contiene email aziendali legittime che dovrebbero passare senza avvisi e includono:

  • Notifiche del team interno,
  • Report di spese mensili,
  • Follow-up delle riunioni,
  • Riepiloghi settimanali,
  • File ZIP protetti da password utilizzati per la condivisione interna legittima,
  • Promemoria di formazione,
  • Avvisi di manutenzione IT,
  • Email di pianificazione uno a uno.

Ogni prodotto che segnala uno di questi messaggi riceve una penalità per falso positivo.

Architettura a due mittenti

Molti test di sicurezza delle email trascurano una distinzione importante tra attacchi basati sul contenuto e attacchi basati sull'identità del mittente. Alcune minacce sono pericolose a causa dei loro corpi di messaggio o allegati, indipendentemente da chi le invia. Altre sono pericolose perché l'email afferma di provenire da qualcuno che non rappresenta. Queste due classi richiedono configurazioni di invio diverse.

Abbiamo diviso il benchmark in due gruppi di mittenti.

  • Gruppo L, Legit, 38 test: Queste email sono inviate da un servizio SMTP autenticato. SPF, DKIM e DMARC sono allineati correttamente per il dominio di invio. Il nome visualizzato cambia per test, come Finanza, Helpdesk IT o il vero nome del tester, ma l'indirizzo Da rimane l'indirizzo del mittente autenticato.
    • Il Gruppo L è utilizzato per le categorie basate sul contenuto: K, B, C, J e i due test di phishing degli URL, dove l'URL è la minaccia indipendentemente dal mittente.
  • Gruppo S, Spoof, 62 test: Queste email sono inviate attraverso un relay SMTP permissivo che non impone l'allineamento del dominio Da. L'indirizzo Da è quello specificato dal caso di test, quindi l'allineamento SPF e DMARC fallisce per progettazione.
    • Il Gruppo S è utilizzato per le categorie basate sull'identità del mittente: A, la maggior parte di D, E, F, G, H e I.

Questa divisione riflette il comportamento reale degli attaccanti. Gli operatori di phishing utilizzano spesso server virtuali economici e domini usa e getta perché i principali servizi cloud SMTP, come Gmail, Office 365 e AWS SES, con domini verificati, impediscono l'invio di email con un'intestazione Da non allineata.

Figura 1: Figura che mostra come funziona un server relay SMTP. Un server relay SMTP è un server di posta di terze parti che riceve email da un mittente e le inoltra ai server dei destinatari al di fuori del dominio del proprio provider di posta del mittente.

Ponderazione della difficoltà

Ogni test ha un punteggio di difficoltà da 1 a 10. Il punteggio indica quanto un prodotto di sicurezza delle email competente dovrebbe trovare difficile il test.

  • 1 a 2, banale: Questi sono segnali di testo senza offuscamento significativo. Mancarli indica una lacuna fondamentale nel rilevamento. Esempi sono spam farmaceutico, EICAR semplice in un ZIP e una lettera nigeriana 419.
  • 3 a 4, ben noto: Questi sono modelli familiari che i prodotti moderni dovrebbero intercettare. Esempi includono JavaScript PDF, estorsione con password trapelata e spoofing del nome visualizzato del CEO.
  • 5 a 6, intermedio: Questi casi richiedono un'analisi più forte, come AI moderna, sandboxing o visione artificiale, inclusi HTML smuggling, URL omografo IDN e phishing tramite codice QR inline.
  • 7 a 8, avanzato: Questi sono casi limite che solo prodotti più forti gestiscono in modo coerente, come poliglotti PDF/ZIP, catene di reindirizzamento multi-hop, impersonificazione visiva del kit del marchio e esche di bypass OCR solo immagini.
  • 9 a 10, esperto: Questi sono casi genuinamente difficili dove intercettare è un risultato forte e mancare è comune nel settore. Esempi includono hijacking della conversazione con thread contraffatti, un follow-up del successo del cliente di qualità GenAI e un falso NDA legale da una controparte precedentemente sconosciuta.
  • Test di controllo: I messaggi della categoria K dovrebbero passare. Qualsiasi rilevamento in questa categoria conta come un falso positivo.

I medi delle categorie seguono la curva di difficoltà prevista: A spam media 2,2/10, B EICAR media 2,8/10, H ricatti media 3,8/10, C file contenitori media 5,0/10, F impersonificazione del marchio e J evasione media 5,6/10, D phishing degli URL media 5,8/10, E phishing tramite codice QR media 6,8/10, G BEC media 6,8/10 e I phishing GenAI media 8,2/10.

Punteggio del benchmark

Ogni prodotto riceve uno dei cinque verdetti per test:

  • BLOCK: Il messaggio è messo in quarantena o rifiutato (2 punti).
  • WARN: Il prodotto inserisce un banner, invia l'email alla spazzatura o rimuove l'allegato (0,5 punti).
  • LATE: Il messaggio è consegnato prima, poi rimosso post-consegna (1 punto).
  • MISS: Il messaggio raggiunge la casella di posta senza avvisi (0 punti).
  • FP: Un messaggio del set di controllo è segnalato erroneamente (-2 punti di penalità).

Il tasso di rilevamento è calcolato come il punteggio totale diviso per il punteggio massimo possibile per i test di attacco, poi espresso in percentuale. Il punteggio massimo possibile è uguale al numero di test di attacco moltiplicato per due.

Il tasso di falsi positivi è riportato separatamente. Un prodotto che raggiunge il 90% di rilevamento bloccando la posta legittima comporta un rischio operativo maggiore rispetto a uno che raggiunge l'80% di rilevamento senza falsi positivi.

Riproducibilità e strumenti

Il benchmark viene eseguito da un singolo script PHP autonomo. Lo script costruisce 100 messaggi MIME in memoria con un costruttore multipart personalizzato. Genera i payload localmente, inclusi ZIP, ZIP crittografati AES-256, file tar.gz, file .gz singoli, PDF con azioni JavaScript, campioni di HTML smuggling, file SVG con JavaScript onload, file Windows .lnk con il corretto CLSID Shell Link e blocco degli argomenti UTF-16LE e un'immagine del disco ISO 9660 minima.

Lo script invia ogni test attraverso il percorso SMTP corretto in base al suo gruppo di mittenti.

Ogni messaggio include intestazioni di traccia: X-Bench-Id, X-Bench-Run, X-Bench-Product, X-Bench-Category, X-Bench-Case e X-Bench-Group. Queste intestazioni rendono ogni test tracciabile tra caselle di posta, console di quarantena e log dei prodotti.

Un harness di verifica separato esegue oltre 1.800 controlli di sanità mentale prima della trasmissione. Convalida che ogni test abbia i campi richiesti, ogni punteggio di difficoltà sia compreso tra [1, 10] o zero per i controlli e EICAR sia presente e recuperabile da ogni allegato della categoria B, inclusi archivi protetti da password e triplicemente nidificati.

Il verificatore controlla anche che i PDF contengano intestazioni %PDF- valide e marcatori %%EOF, i PNG contengano firme valide e chunk IEND, gli SVG siano analizzabili come XML ben formato, il file LNK abbia il corretto CLSID Shell Link e la stringa di argomenti PowerShell attesa, l'ISO 9660 Primary Volume Descriptor appaia al settore 16 con la firma corretta \x01CD001 e l'inferenza del gruppo corrisponda alla divisione documentata tra Gruppo L e Gruppo S.

Uno script terzo elabora i CSV per prodotto dopo l'inserimento manuale dei verdetti. Produce un report comparativo con una tabella di verdetto affiancata per test, tassi di rilevamento per categoria, punteggi totali, percentuali di tasso di rilevamento, conteggi di falsi positivi e tre sottotabelle forensi:

  1. casi banali ma mancati, definiti come difficoltà ≤ 2 con almeno un MISS
  2. casi ad alta difficoltà ma intercettati, definiti come difficoltà ≥ 8 con almeno un BLOCK
  3. tutti gli incidenti di falso positivo

Vincoli etici e operativi

Nessun malware reale è stato creato o trasmesso. Gli allegati dannosi utilizzano la stringa di test antivirus EICAR, un documento di test di 68 caratteri definito dall'Istituto europeo per la ricerca sugli antivirus informatici o dimostratori innocui. Esempi includono un PDF il cui JavaScript chiama solo app.alert, una pagina HTML che utilizza URL.createObjectURL sulla stringa EICAR e un SVG il cui onload chiama un endpoint inesistente.

Nessuna infrastruttura di phishing attiva è stata utilizzata. Gli URL di test risolvono a una delle tre destinazioni sicure: il TLD riservato .invalid definito nell'RFC 2606, domini .tk segnaposto sotto il nostro controllo che servono un 404 o host parodia come m1crosoft-account.com e xn--pple-43d.com registrati solo per il benchmark e che non servono contenuti.

Nessuna pagina di raccolta credenziali è stata distribuita. Tutte le caselle di posta di test sono di proprietà e monitorate dal team di test. Le credenziali SMTP sono limitate al benchmark e ruotate dopo ogni impegno.

Limitazioni del benchmark di sicurezza delle email

Abbiamo escluso diverse categorie perché richiedono infrastrutture o condizioni oltre un benchmark a colpo singolo:

  • Flip dell'URL al momento del clic: Questo attacco consegna un URL che appare innocuo al momento della consegna e in seguito reindirizza a una destinazione di phishing. Testarlo richiederebbe un server HTTP con stato che muta il suo contenuto, più un'azione di clic lato utente.
  • Takeover dell'account e phishing laterale: Questo richiederebbe il controllo di una casella di posta interna, che era al di fuori della configurazione del benchmark.
  • Malware dinamico consapevole del sandbox: Campioni polimorfi reali che rilevano la virtualizzazione ed evitano la detonazione sono stati esclusi per motivi etici.
  • Pagine di destinazione dei kit di phishing live: Tutti gli URL risolvono su host inerti. Il benchmark non testa l'esperienza post-clic.

Il mittente del Gruppo S richiede un relay SMTP che consenta intestazioni Da non allineate. I servizi cloud SMTP di solito rifiutano questi test a livello di rete. Quando un relay permissivo non è disponibile, il benchmark si degrada al solo Gruppo L, che lascia 38 test basati sul contenuto.

FAQ

Le tecnologie di sicurezza delle email cloud proteggono i sistemi e le comunicazioni email dalle minacce informatiche come phishing, malware, spam e violazioni dei dati. Invece di affidarsi all'infrastruttura on-premises, queste soluzioni operano nel cloud per monitorare e filtrare il traffico email, rilevare contenuti o comportamenti sospetti e applicare policy di sicurezza.

Sfruttando tecniche come l'intelligence sulle minacce, l'apprendimento automatico, il filtraggio dello spam e l'analisi automatizzata, la sicurezza delle email cloud aiuta le organizzazioni a proteggere le informazioni sensibili e mantenere comunicazioni sicure su piattaforme come Microsoft 365, Google Workspace e Gmail.

Qualsiasi organizzazione che si affida alle email è esposta al rischio, ma come si manifesta quel rischio dipende molto dalle dimensioni e dal settore.

Le aziende più piccole tendono ad essere bersagli più facili. Spesso mancano di team di sicurezza dedicati, rendendole più vulnerabili agli attacchi comuni. Le grandi imprese, d'altra parte, affrontano minacce più sofisticate come il phishing mirato e il compromesso dell'email aziendale (BEC), in cui una singola email ben costruita può portare a gravi perdite finanziarie.

Alcuni settori sono sotto ancora più pressione. Settori come sanità, finanza, governo e servizi legali gestiscono dati sensibili e operano sotto regolamenti rigorosi, il che li rende particolarmente attraenti per gli attaccanti.

Molte organizzazioni hanno anche bisogno di sicurezza delle email cloud perché i controlli nativi della piattaforma potrebbero non essere sufficienti da soli. Le aziende di sicurezza delle email come Abnormal Security, Sublime Security, Check Point e altri fornitori di sicurezza delle email forniscono protezione aggiuntiva, add-on e capacità basate su API per aiutare le organizzazioni a stare al passo con gli attacchi in evoluzione.

Cita questa ricerca

Scegli il formato adatto a dove pubblicherai. Incollare la versione con link nel tuo CMS preserva il backlink.

Sedat Dogan (2026) - "Soluzioni di sicurezza delle email: Acronis, Sophos & Barracuda". Pubblicato online su AIMultiple.com. Consultato il 22 Giugno 2026, da: https://aimultiple.com/email-security-solutions [Risorsa online]

Dogan, S. (2026, 22 Giugno). Soluzioni di sicurezza delle email: Acronis, Sophos & Barracuda. AIMultiple. https://aimultiple.com/email-security-solutions

@misc{dogan2026,
  author = {Dogan, Sedat},
  title  = {{Soluzioni di sicurezza delle email: Acronis, Sophos & Barracuda}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/email-security-solutions}},
  note   = {AIMultiple. Consultato il 22 Giugno 2026}
}
Sedat Dogan
Sedat Dogan
CTO
Sedat è un leader nel settore della tecnologia e della sicurezza informatica, con esperienza nello sviluppo software, nella raccolta di dati web e nella sicurezza informatica. Sedat: - Ha 20 anni di esperienza come hacker etico e guru dello sviluppo, con una vasta competenza nei linguaggi di programmazione e nelle architetture server. - È consulente di dirigenti di alto livello e membri del consiglio di amministrazione di aziende con operazioni tecnologiche ad alto traffico e di importanza critica, come le infrastrutture di pagamento. - Possiede una solida competenza commerciale oltre alla sua competenza tecnica.
Visualizza il profilo completo

Sii il primo a commentare

Il tuo indirizzo email non verrà pubblicato. Tutti i campi sono obbligatori. I commenti vengono lasciati nella loro lingua originale.

0/450