Serviços
Contate-nos

Soluções de Segurança de Email: Acronis, Sophos & Barracuda

Sedat Dogan
Sedat Dogan
atualizado em 22 jun. 2026

O email é um dos pontos de entrada mais comuns para ciberataques, e as proteções integradas não são mais suficientes para lidar com ameaças direcionadas. Testamos três plataformas de segurança de email em nuvem (Acronis, Sophos e Barracuda) com 100 testes em 11 categorias de ameaças.

Resultados do benchmark de soluções de segurança de email em nuvem

Leia a metodologia de benchmark de soluções de segurança de email para aprender como testamos essas ferramentas e medimos os resultados.

Comparação de soluções de segurança de email baseada em categorias de veredito

Acronis Advanced Email Security

  • Acronis tem a maior pontuação geral de detecção (122/200) e se sai melhor contra phishing GenAI com 100%. Todos os dez pretextos comerciais polidos foram bloqueados, incluindo pré-leituras falsas de conselho, fluxos de re-consentimento do Microsoft 365 e NDAs legais fictícios.
    • Esta é a categoria mais difícil no benchmark, com uma dificuldade média de 8,2/10. Pegar todos os dez sugere que o Acronis lidou bem com dicas de phishing semânticas e contextuais neste benchmark, em vez de depender apenas de sinais óbvios de gramática ou formatação.
  • A Categoria F e a Categoria D também apoiam este cenário: o Acronis pontuou 89% em impersonação de marca/domínio e 90% em phishing de URL, incluindo um BLOQUEIO no teste de injeção de cabeçalho de resultados de autenticação. Os resultados agregados sugerem um forte manuseio de casos de impersonação e análise de URL.
  • O registro limpo de falsos positivos é operacionalmente significativo. Nenhuma das oito mensagens de controle foi bloqueada, o que significa que a taxa de detecção de 67% não tem custo compensatório na perda de correio legítimo.
  • Os negativos estão concentrados em níveis de dificuldade mais baixos. Spam básico (Categoria A, 44%) é menor do que outras ferramentas, com falhas em spam farmacêutico, golpes de loteria e um golpe romântico básico em níveis de dificuldade de 1 a 2. A lacuna sugere que o Acronis prioriza ataques sofisticados sobre tráfego em massa e de baixo esforço.

Sophos Email Security

  • O Sophos tem a segunda maior pontuação geral (105,5/200). Ele alcançou 100% na Categoria B (variantes de malware EICAR), pegando todas as variantes de aninhamento de arquivo, ZIP protegido por senha e teste de tolerância de deslocamento.
  • As fraquezas mais visíveis do Sophos são phishing de URL (Categoria D, 58%) e técnicas de evasão (Categoria J, 22%). A lacuna de phishing de URL é notável porque os links estão entre os mecanismos de entrega de phishing mais comuns, e a Categoria D testa várias maneiras realistas de os atacantes esconderem ou roteá-los.
  • A pontuação de 58% do Sophos, comparada aos 90% do Acronis, sugere que sua camada de análise de URL foi menos consistente em redirecionamentos, ofuscação e placements de URL fora do corpo.

Barracuda Email Protection

  • A pontuação de detecção de 60/200 da Barracuda é menor do que os outros dois produtos. A Categoria I (phishing GenAI) retornou 0% de detecção, e a Categoria A (Spam: 33%) tem a menor pontuação entre os concorrentes. Isso sugere que a Barracuda foi menos eficaz nesta configuração contra spam, phishing GenAI e cenários de engenharia social do benchmark.
  • A Categoria B (detecção de malware conhecido através de strings de teste EICAR, 89%) e a Categoria C (tipos de arquivo de transporte como PDFs com JavaScript incorporado, HTML smuggling e atalhos LNK, 70%) são competitivos com outros fornecedores.
  • Os resultados da Categoria J da Barracuda (técnicas de evasão, 44%) mostram o melhor dos três fornecedores. Isso sugere que o mecanismo de inspeção de conteúdo subjacente pode lidar com recursos como caracteres de largura zero, assuntos codificados e homógrafos razoavelmente bem.
  • As fraquezas são mais proeminentes em categorias que mais importam para a proteção moderna de ameaças. Phishing de código QR (Categoria E, 13%), impersonação de marca (Categoria F, 11%), BEC (Categoria G, 11%) e extorsão (Categoria H, 22%) estão todos bem abaixo da comparação.
  • Através dos onze testes de nível difícil, a Barracuda bloqueou apenas um e perdeu os dez restantes.

Top 3 soluções de segurança de email em nuvem

Acronis Advanced Email Security análise detalhada

Quando selecionamos Acronis Email Security no menu à esquerda na interface do Acronis Cyber Protect Cloud, vemos a seguinte tela. Em seguida, clicamos para acessar o console de Segurança de Email.

Como ainda não concluímos nenhuma configuração, nosso painel exibe apenas os itens de menu:

  • Incidentes: Incidentes de segurança detectados e atividade de ataque.
    • Resposta a Incidentes: Ferramentas para investigar e responder a incidentes.
    • Traffico: Visibilidade de padrões de email ou tráfego web escaneados.
    • Relatórios Periódicos: Relatórios de segurança e proteção agendados.
  • Operações de Segurança: Controles operacionais de segurança e ferramentas de monitoramento.
  • Configuração de Detecção: Configuração para regras de detecção, varredura e configurações de proteção.

A partir do menu Configurações à esquerda, vamos para Ativos de Email Protegidos.

Como ainda não há ativos, o sistema nos redireciona para o fluxo de configuração. Clicamos em Configurar proteção de email. O sistema pede um endereço de email de escalonamento para relatar problemas e pergunta qual serviço de email usamos.

Para este teste, prosseguiremos com um provedor personalizado via MX. Estamos fazendo isso para que possamos comparar fornecedores diretamente, sem ser afetados pelas proteções integradas no Microsoft 365 ou no Google Workspace.

Selecionamos o serviço de email e escolhemos o método de conexão Inline. Isso significa que o Acronis escaneia e bloqueia emails maliciosos antes que sejam entregues.

Também adicionamos um contato de escalonamento que o Acronis pode usar para tomada de conta, segurança ou problemas de conexão. O próximo passo é habilitar o aplicativo do Google Workspace, que suporta integração, contagem precisa de usuários para faturamento e ações de remediação, como remover emails maliciosos entregues por engano.

Adicionamos o domínio conectado, aimultiple.com, e o sistema recupera automaticamente os registros MX.

Também definimos o método de cálculo da licença como "De acordo com as vagas relatadas" e inserimos 100 vagas. Após essas configurações, prosseguimos com Próximo para continuar a configuração do MX.

O sistema pede que adicionemos um registro TXT para verificar a propriedade do domínio. Adicionamos o registro e aguardamos a verificação.

Também podemos gerenciar os servidores de destino SMTP configurados, confirmar que o TLS está habilitado e usar a ação Verificar para confirmar que o registro TXT foi publicado corretamente. Esta página também nos permite editar as configurações de servidor e TLS ou excluir o domínio, se necessário.

Enviamos um total de 100 emails que poderiam ser considerados maliciosos ou spam. O painel agora mostra estatísticas como quantos emails foram escaneados, quantos foram classificados como spam, quantos foram classificados como maliciosos e quantos emails foram recebidos por tipo de ataque. Também há uma estatística mostrando quais endereços de email foram atacados com mais frequência.

No menu Varreduras, podemos ver as estatísticas de varredura para todos os emails recebidos. A divisão por tipo de arquivo também é um detalhe útil. Além disso, em toda a aplicação, podemos ajustar o intervalo de datas clicando em Último Dia no topo da página.

O filtro na seção Varreduras é altamente detalhado. Aqui estão algumas das opções:

  • Endereço de remetente/domínio/IP: Os principais indicadores para identificar remetentes maliciosos ou falsificados.
  • Nome de exibição impersonado: Alvo direto de uma das técnicas de phishing mais comuns, onde o nome visível parece legítimo, mas o endereço real não.
  • Endereço de resposta: Outra bandeira vermelha importante de phishing. Quando o reply-to difere do endereço do remetente, isso frequentemente sinaliza uma tentativa de redirecionar respostas para uma caixa de entrada controlada pelo atacante.
  • Ação (quarentenado/entregue): Essencial para entender se uma ameaça foi pega ou chegou ao destinatário.
  • Assunto: Para identificar campanhas de phishing que usam linhas de assunto idênticas ou quase idênticas em vários alvos.
  • Endereço do destinatário: Crítico para determinar o escopo de um ataque. Mostra quantos usuários foram alvo e se indivíduos de alto valor (executivos, finanças) estavam entre eles.
  • Carga útil (anexos/URLs): Restringe a pesquisa a emails que carregam os mecanismos de entrega de malware mais comuns.

Quando vamos para Operações de Segurança no menu à esquerda, chegamos à seção Varreduras. A partir desta tela, podemos acessar detalhes relacionados às varreduras. Todas as varreduras estão listadas aqui, e também podemos ver as categorizações resultantes, como limpo, spam e malicioso.

Quando abrimos os detalhes de um email, podemos ver como o sistema o avaliou e seu status atual. Também podemos alterar seu status para:

  • Aprovar Veredito (Gerenciar): Aceitar o veredito atual e processar o email de acordo.
  • Marcar email como restrito: Classificar o email como restrito ou violador de política.
  • Marcar email como Spam: Classificar o email como indesejado ou não solicitado.
  • Marcar email como Suspeito: Sinalizar o email como potencialmente arriscado e necessitando de cautela.
  • Marcar email como Limpo (FP): Marcar o email como seguro e indicar que foi um falso positivo.

A visão abaixo é a visão compacta. Quando clicamos na guia Detalhada no canto superior direito, podemos ver muitos detalhes adicionais.

Na visão compacta, podemos ver os detalhes de varredura de um email de phishing malicioso que foi quarentenado pelo Acronis. Inclui uma visão geral gerada por IA explicando por que o email é considerado malicioso e mostrando indicadores como um domínio de remetente suspeito, comportamento de bombardeio de email e uma URL arriscada. Na seção Detalhes, podemos verificar o canal, ação tomada, tempo de varredura, tempo de processamento, organização e status de IR.

No Email Inspector, podemos revisar os metadados da mensagem, incluindo assunto, remetente, destinatário, hora, caminho de retorno e IP de origem. O corpo do email também é exibido, para que possamos avaliar a tentativa de engenharia social diretamente.

Os critérios de avaliação de incidentes são claros e transparentes. Para um incidente, também podemos clicar no botão Solicitar investigação, selecionar "Acho que este email está limpo" e enviá-lo à equipe do Acronis para revisão. Podemos visualizar varreduras anteriores relacionadas ao mesmo email.

Com o botão Capturas de Tela, podemos ver a versão renderizada do email, que é um recurso muito útil. Vale notar que o sistema não renderiza o email como HTML no navegador, então qualquer vulnerabilidade não detectada no email não pode acionar uma violação durante a revisão.

Todas as ações do usuário podem ser registradas, e podemos visualizar esses registros no Log de Auditoria no menu à esquerda. Alguns desses registros são:

  • Assistir capturas de tela de varredura
  • Gerenciar varredura
  • Ação de UI

Cada log registra o carimbo de data/hora, ação, descrição, administrador ou equipe, organização de destino e o email ou objeto de destino relacionado.

Na Configuração de Detecção no menu à esquerda, podemos gerenciar listas de permissão e listas de bloqueio em detalhes, o que é um recurso altamente útil:

  • Lista de permissão de endereço de email/domínio do remetente: Emails de endereços ou domínios nesta lista são sempre confiáveis e ignorarão filtros de spam/ameaça. Isso pode ser útil para listar em branco parceiros conhecidos ou sistemas internos que poderiam acionar falsos positivos.
  • Lista de permissão de endereço de email do destinatário: Especifica endereços de destinatários internos que devem receber todo o email de entrada sem filtragem. Isso garante que certos usuários (por exemplo, uma caixa de entrada catch-all) sempre recebam emails, mesmo de remetentes desconhecidos.
  • Lista de bloqueio de endereço de email/domínio do remetente: Emails de endereços ou domínios nesta lista são automaticamente rejeitados ou quarentenados. Pode ser usado para bloquear permanentemente fontes de spam conhecidas, domínios maliciosos ou remetentes em massa indesejados.
  • Lista de permissão de IP do remetente: Servidores de email com IPs nesta lista são considerados confiáveis, e seus emails ignoram verificações de reputação baseadas em IP. Pode ser usado para serviços de email de terceiros confiáveis ou relés de email locais.
  • Lista de bloqueio de IP do remetente: Conexões desses IPs são bloqueadas, independentemente do endereço do remetente. Isso pode ser eficaz contra servidores de email maliciosos conhecidos ou infraestrutura comprometida.
  • Lista de permissão de URL: Links correspondentes a essas URLs ou domínios dentro dos corpos de email são considerados seguros e não serão sinalizados.
  • Lista de bloqueio de URL: Emails contendo essas URLs são sinalizados, bloqueados ou quarentenados.
  • Lista de permissão de hash: Anexos de arquivo correspondentes a esses hashes criptográficos são tratados como seguros e passam sem alertas de varredura.
  • Lista de bloqueio de hash: Anexos cujo hash corresponde a uma entrada nesta lista são bloqueados imediatamente. Isso fornece bloqueio preciso e baseado em assinatura de arquivos maliciosos conhecidos, mesmo que sejam renomeados ou disfarçados.

Algumas das características que valem a pena mencionar, mas não testamos especificamente, são:

Na configuração de detecção:

  • Inteligência de ameaças: Puxa indicadores de fontes externas de inteligência de ameaças. Este recurso ajuda a pegar malware de commodity generalizado, URLs maliciosas e campanhas de ataque ativas.
  • Banners: Adiciona banners personalizáveis a emails recebidos com base em políticas e regras.
  • Usuários VIP: Permite que administradores mantenham uma lista de usuários de alto valor (executivos, funcionários de finanças, etc.).

Em operações de segurança:

Toma de Conta (ATO): Detecta caixas de correio comprometidas do Microsoft 365. O recurso é projetado para pegar atacantes que usam contas sequestradas para fraude, phishing interno e exfiltração de dados.

O mecanismo sinaliza regras de caixa de correio suspeitas (encaminhamento, redirecionamento, movimentação ou exclusão de emails), logins de viagem impossível e entradas de locais ou dispositivos desconhecidos. Quando detecta um desses sinais, abre um caso no console e a equipe de resposta a incidentes entra em contato com o administrador para investigar juntos.

Sophos Email Security análise detalhada

Para começar com o Sophos, criamos um link de teste e somos direcionados para a seguinte tela. Assim como a Barracuda, o Sophos pede que selecionemos uma região.

O sistema então pergunta qual produto queremos instalar. Selecionamos Segurança de Email. Outros produtos que podem ser configurados incluem Proteção de Endpoint, Proteção de Servidor, Phish Threat, Proteção DNS, Acesso à Rede de Confiança Zero, Navegador Protegido, Mobile, Wireless, Criptografia de Dispositivo, Gerenciamento de Firewall, Cloud Optix e Switches.

Enviaremos 100 emails, e a imagem abaixo mostra o painel. Inclui estatísticas como o número total de emails recebidos escaneados, ameaças potenciais e tipos de ameaças detectados. Também há estatísticas para emails de saída, mas não estamos testando segurança de email de saída neste benchmark.

Também podemos ver outros elementos do painel, como tendências de atividade de email, resumos de ameaças e indicadores de status de segurança.

Clicamos em Configurar configurações de gateway de email. O sistema pede que verifiquemos nosso domínio. Então observamos uma configuração útil na qual podemos escolher apenas entrada ou entrada e saída. Também verifica emails de saída para evitar problemas de segurança.

O sistema mostra o registro DNS que precisamos inserir. Então adicionamos e prosseguimos.

Adicionamos o registro TXT ao DNS público do domínio. O valor TXT é um token de verificação de domínio do Sophos, e o TTL está definido para 600. Após adicionar o registro DNS, aguardamos a propagação e depois clicamos em Verificar para que o Sophos possa confirmar que somos donos do domínio.

Adicionamos o registro e verificamos nosso domínio. Para o destino de entrada, selecionamos MX e inserimos o registro MX do Google Workspace: aspmx.l.google.com.

Assim como a Barracuda, o Sophos requer roteamento MX. Diferente do Sophos e da Barracuda, o Acronis lidou com esse processo limpa através de uma API, e não precisávamos alterar nenhuma configuração. Esses tipos de alterações de configuração de MX ou similares podem causar problemas para administradores de sistema. No entanto, para fins de teste, prosseguimos para o próximo passo.

Concluímos as configurações de MX e enviamos um email de teste, mas não funcionou. Após alguma investigação, vimos que o erro foi: "Este endereço de email não foi encontrado", o que foi inesperado.

Precisamos entrar no painel, abrir a seção Caixas de Correio no menu à esquerda e adicionar usuários manualmente um por um. Este é um problema de usabilidade que prejudica a experiência geral, já que tanto o Acronis quanto a Barracuda funcionaram imediatamente. Para o teste, adicionamos apenas nosso próprio endereço de email e continuamos os testes através dessa conta.

A seção de relatórios está no menu à esquerda. Aqui estão alguns dos relatórios que podemos criar:

  • Resumo de mensagens: Volume geral de email e status.
  • Relatório de análise do SophosLabs: Vereditos de mensagens relatados por usuário/admin.
  • Resumo de ameaça do Intelix: Análise de ameaça para emails de entrada.
  • Resumo de hora de clique: Relatório de atividade de clique em links.
  • Usuários em risco: Funcionários mais vulneráveis.
  • Resumo de controle de dados: Correspondências de política de perda de dados.
  • Resumo de pós-entrega: Emails removidos após a entrega.
  • Resumo de uso de licença: Uso de licença de segurança de email.

Quando vamos para Segurança de Email > Histórico de Mensagens, podemos ver todos os emails recebidos e como cada um foi classificado. Este relatório de Histórico de Mensagens lista emails individuais processados pelo Sophos Email Security. Alguns campos chave são:

  • Remetente: De quem o email parecia vir.
  • Destinatários: Quem recebeu a mensagem.
  • Tipo: Como o email entrou no sistema, geralmente Gateway.
  • Assunto: A linha de assunto do email.
  • Último Status: O que o Sophos fez com ele, como Entregue, Excluído ou Quarentenado.
  • Data: Quando o email foi processado.
  • Categoria: Classificação do Sophos, como Legítimo, Spam, Malware, Ameaça Intelix ou Autenticação.

Alguns exemplos das categorias são:

  • Legítimo: Emails normais que foram permitidos.
  • Spam: Emails suspeitos ou indesejados; muitos são quarentenados.
  • Malware: Emails perigosos contendo conteúdo malicioso; estes são excluídos.
  • Ameaça Intelix: Emails analisados pelo Sophos Intelix que foram encontrados suspeitos ou ameaçadores.
  • Quarentenado: O email foi bloqueado e colocado em quarentena para revisão.
  • Excluído: O email foi removido em vez de entregue.

Os filtros abaixo permitem que os usuários restrinjam o log de email por categoria de mensagem:

  • Legítimo: Emails normais permitidos.
  • Mensagem segura: Emails criptografados ou protegidos.
  • Controle de dados: Emails correspondentes a regras de perda de dados/segurança.
  • Falha de autenticação: Falhas em verificações SPF, DKIM ou DMARC.
  • Impersonação: Possível falsificação de remetente ou fraude de identidade.
  • Em massa: Emails de marketing em massa ou automatizados.
  • Spam: Emails indesejados ou suspeitos.
  • URL/Código QR: Emails com links ou códigos QR arriscados.
  • Ameaça Intelix: Emails sinalizados pela análise de ameaça do Sophos.
  • Inescaneável: Emails que o Sophos não pôde inspecionar totalmente.
  • Malware: Emails contendo arquivos ou conteúdo malicioso.
  • Bloqueado pela empresa: Emails bloqueados pela política da empresa.

O menu Caixas de Correio mostra as caixas de correio sendo monitoradas. Ao abrir uma caixa de correio, podemos selecionar quais políticas aplicar. Sob Política Base – Segurança de Email, as seguintes configurações estão disponíveis:

A autenticação inclui verificações de autenticação de email para mensagens de entrada. Podemos configurar como o Sophos lida com falhas de DMARC, SPF e DKIM, incluindo ações como conformidade com a política do remetente ou marcar a linha de assunto com um aviso.

Também inclui verificações de remetente para anomalias de cabeçalho e anomalias de domínio, que ajudam a detectar emails que parecem vir do seu próprio domínio ou de domínios suspeitos sem registros DNS adequados. Também podemos habilitar banners de usuário final para mostrar aos destinatários o nível de confiança de mensagens de entrada e nos ajudar a decidir se permitimos ou bloqueamos remetentes.

Anti-malware gerencia a varredura anti-malware de entrada para mensagens de email. Podemos escolher a ação padrão para detecções de malware, como Excluir, e habilitar a varredura aprimorada de malware para análise de conteúdo e arquivo mais profunda.

Também permite controle sobre emails não escaneados e Análise de Ameaça Intelix, onde o Sophos pode usar análise estática e dinâmica para classificar mensagens suspeitas. Com base no veredito, podemos definir ações como excluir, entregar ou lidar com emails maliciosos e suspeitos de maneira diferente.

Anti-spam gerencia como o Sophos lida com spam e email em massa. Podemos definir ações para categorias como Spam Confirmado e Em massa, incluindo quarentena de mensagens e decidir se elas aparecem na quarentena do usuário final.

Também inclui um controle deslizante de taxa de captura de spam personalizável, onde níveis mais altos aumentam a agressividade da detecção de spam.

Novo domínio/remetente inclui proteções para domínios recém-registrados e novos remetentes. Podemos habilitar verificações para emails enviados de domínios criados recentemente, que são frequentemente usados em campanhas de phishing.

Também permite que um banner de Novo Remetente seja mostrado quando um destinatário não recebeu emails daquele remetente antes.

O país de origem permite controlar emails com base no país do remetente. Países específicos podem ser selecionados de uma lista, e emails correspondentes podem ser quarentenados ou tratados de acordo com a política.

Há também uma opção para verificar cada salto de mensagem, o que ajuda a inspecionar a rota que um email percorreu antes de chegar ao destinatário.

Idioma gerencia a filtragem por idioma da mensagem. Podemos selecionar idiomas específicos que queremos não permitir e escolher a ação que o Sophos deve tomar, como quarentena de mensagens correspondentes.

O recurso de proteção contra impersonação habilita verificações para tentativas de impersonação de VIP, marca e geral.

Para proteção de URL e código QR, podemos verificar emails por URLs e códigos QR maliciosos. O Sophos pode escanear links e extrair URLs de códigos QR para detectar ameaças antes que os usuários interajam com eles.

Também gerencia Proteção de URL no Momento do Clique, onde links são reescritos e verificados quando o usuário clica neles.

No menu à esquerda, a seção Mensagens Quarentenadas mostra todos os emails nos quais uma ameaça foi detectada. Podemos filtrar por:

  • Anti-malware: Emails sinalizados durante a varredura de malware. Isso inclui mensagens com anexos perigosos, conteúdo malicioso ou itens que o Sophos não pôde inspecionar totalmente:
    • Malware: Emails confirmados contendo arquivos, links ou conteúdo malicioso. Estes geralmente são excluídos ou quarentenados.
    • Inescaneável: Emails que o Sophos não pôde inspecionar corretamente, por exemplo, devido a criptografia, corrupção, anexos protegidos por senha ou tipos de arquivo não suportados.
  • Anti-spam: Emails classificados através de regras de detecção de spam:
    • Em massa: Emails enviados em massa, como newsletters, campanhas de marketing ou notificações automatizadas.
    • Spam Confirmado: Emails confidentemente identificados como spam. Estes são tipicamente quarentenados ou bloqueados.
    • Spam Suspeito: Emails que parecem suspeitos, mas não são spam confirmado. Eles podem ser quarentenados, marcados ou entregues dependendo da política.
    • Impersonação: Emails que podem estar fingindo vir de uma pessoa, marca, domínio ou remetente interno confiável.
    • País Não Permitido: Emails bloqueados ou quarentenados porque se originaram de um país restrito pela política.
    • Idioma Não Permitido: Emails bloqueados ou quarentenados porque seu idioma detectado não é permitido pela política.
    • BATV: Emails relacionados à Validação de Tag de Endereço de Rejeição, usados para ajudar a detectar mensagens de bounce forjadas ou spam de backscatter.
    • Novo domínio/NRD: Emails de domínios recém-registrados, que são frequentemente usados em phishing ou campanhas de ataque de curta duração.
  • Autenticação: Emails filtrados com base em verificações de autenticação de remetente, como falhas de SPF, DKIM ou DMARC.

Quando clicamos em um email, podemos ver as mensagens explicando por que ele foi quarentenado. Podemos excluí-lo e bloquear o remetente, liberar a mensagem da quarentena ou liberá-la e permitir mensagens semelhantes no futuro.

Na seção Cabeçalho Bruto, podemos visualizar todas as informações de cabeçalho do email. Também podemos visualizar seus anexos e as URLs contidas na mensagem. Isso não pareceu suficientemente detalhado em nossa avaliação. O Acronis e a Barracuda forneceram uma experiência mais abrangente e informativa neste aspecto.

Na guia Mensagem, podemos visualizar o conteúdo do email como ele é, o que pode ser inseguro. Seria melhor se pudéssemos ver o conteúdo do email como uma captura de tela, como observamos no Acronis.

Há apenas 23 emails aqui porque estes foram marcados como spam, enquanto alguns outros foram rejeitados diretamente. Em resumo, o sistema quarentena emails marcados como spam.

Quando queremos exportar todos os emails recebidos, não podemos fazê-lo diretamente das telas de relatório. Precisamos criar um relatório personalizado a partir de Logs de Email, depois abri-lo, selecionar Gerar Relatório, escolher CSV e finalmente exportar tudo como CSV. Este fluxo de trabalho parece desnecessariamente indireto e não amigável ao usuário.

Barracuda Email Protection análise detalhada

Após obter um teste da Barracuda, navegamos para o painel, clicamos em Abrir para Proteção de Email e prosseguimos.

Em Disponível no seu teste, podemos ver os principais produtos incluídos:

  • Proteção de email: Previne ameaças de email, protege o email antes e após a entrega e automatiza a resposta a incidentes de email.
  • Backup de nuvem para nuvem: Faz backup dos dados do Microsoft 365.
  • Inspeção de dados: Encontra dados sensíveis e malware não detectado no OneDrive e SharePoint.
  • Treinamento de conscientização de segurança: Treina funcionários sobre ameaças de segurança de email.
  • Serviço de arquivamento em nuvem: Aplica retenção de email para conformidade e descoberta eletrônica.

Como ainda não havíamos configurado nenhum domínio ou configurações relacionadas, o sistema nos levou diretamente ao assistente de configuração, que é um recurso útil para configurar configurações de email.

Quando clicamos em Próximo, o sistema nos forçou a conectar uma conta do Microsoft 365. No entanto, usamos o Google Workspace e estamos avaliando o serviço para esse ambiente.

Mais tarde descobrimos que a Barracuda suporta o Google Workspace. Continuamos com a configuração padrão.

O sistema pediu que selecionássemos uma região de dados. Este é um recurso importante para conformidade com o GDPR, então selecionamos a Alemanha e continuamos.

Mais tarde, a Barracuda pediu que inseríssemos um endereço de email pertencente ao nosso domínio e verificássemos nossos registros MX. Apenas clicamos no botão de verificação e não realizamos nenhuma ação adicional. O sistema verificou os registros com sucesso.

Durante os estágios posteriores de nossa configuração, descobrimos que a Barracuda carecia de uma integração nativa com o Google Workspace. Em vez disso, ela nos deu novos registros MX para substituir os existentes. Quando atualizamos esses registros MX, os emails recebidos parecem chegar à Barracuda primeiro.

A Barracuda então filtra emails inadequados e encaminha os aceitáveis. Exigir alterações de registro MX para integração com o Google Workspace é uma abordagem ruim.

Depois disso, atualizamos os registros MX e os verificamos. Concluímos a configuração e começamos a enviar emails.

Ao enviar os emails, observamos que a Barracuda rejeitou algumas solicitações SMTP e recusou alguns anexos. Quando realizamos o mesmo teste com o Acronis, todos os emails foram entregues e visíveis no sistema. Aqui, a Barracuda rejeita alguns emails antes que eles apareçam no painel.

Embora os rejeite porque são genuinamente maliciosos, perdemos visibilidade como resultado deste processo automatizado. Em outras palavras, podemos nem saber se um ataque chegou e foi rejeitado. Este é um desafio para usar a Barracuda para segurança de email, pois a visibilidade é tudo em contextos de segurança. Se um produto arbitrariamente rejeita incidentes e os torna invisíveis, isso prejudica a equipe de segurança.

Apesar desses desafios, todos os emails de teste foram enviados. No painel da Barracuda, somos direcionados para a tela de Log de Mensagens, onde todos os emails escaneados são listados.

A seção Log de Mensagens inclui uma área de filtro no topo. Aqui estão as opções de filtro:

  • Pesquisa: Pesquisa de texto em mensagens, destinatários, remetentes e outros campos.
  • Domínios: Filtra resultados pelo domínio selecionado.
  • Direção: Filtra por direção de email; Entrada ou Saída.
  • Intervalo de data/hora: Limita resultados a uma janela de tempo específica.
  • Ação tomada: Filtra pela ação tomada, por exemplo, Permitido, Bloqueado, Adiado.
  • Status de entrega: Filtra por se o email foi entregue, falhou, quarentenado, etc.
  • Motivo: Filtra pelo motivo de detecção que acionou uma ação (por exemplo, Pontuação, DMARC, Antivírus, Conteúdo Protegido).
  • Resultados: Controla quantos registros são exibidos por página.

Podemos relatá-lo como classificado incorretamente. Por exemplo, o email abaixo é seguro, mas classificado incorretamente como prejudicial. Relatamos o email como seguro.

O email abaixo está bloqueado, mas o painel não fornece nenhum detalhe adicional. Portanto, a Barracuda fica aquém nesta área. Seria mais útil se pudéssemos ver mais informações sobre por que a mensagem está bloqueada, além da pontuação de bloqueio.

Na seção Domínios à esquerda, podemos visualizar, adicionar e excluir os domínios que queremos incluir na proteção de email, que são funções padrão.

Dentro do menu Entrada à esquerda, a Barracuda fornece os filtros usados para esses controles. Podemos configurar esses filtros.

Por exemplo, em Configurações de Anti-Spam/antivírus, podemos configurar:

  • Usar lista de bloqueio de reputação da Barracuda: Verifica emails recebidos contra o banco de dados da Barracuda de remetentes maliciosos conhecidos. Pode ser definido como Bloquear, Quarentena ou Desligado.
  • Escaneie emails para vírus: Habilita ou desabilita a varredura de vírus em todos os emails recebidos.
  • Usar sistema em tempo real da Barracuda: Cruza emails com o feed de inteligência de ameaças ao vivo da Barracuda. Pode ser bloqueado, quarentenado ou desligado. Opcionalmente envia conteúdo suspeito para o Barracuda Central para análise adicional.
  • Habilitar cloudscan: Transferir pontuação de spam para o mecanismo em nuvem da Barracuda. As pontuações variam de 1 a 10; emails que excedem o limite acionam a ação configurada.
  • Categorização de email: Classifica emails recebidos por tipo e aplica uma ação por categoria. As categorias incluem Email Corporativo, Email Transacional, Materiais de Marketing e Newsletters, Listas de Correio e Mídia Social, cada uma definida independentemente para Permitir, Quarentena, Bloquear ou Desligado.
  • Detecção de email em massa: Detecta e age sobre emails em massa/sentidos em massa. Quando definido como Desligado, emails em massa não são filtrados separadamente.
  • Isenções de email em massa: Permite que endereços de email ou domínios específicos contornem a detecção de email em massa, definidos por remetente ou destinatário.

As páginas de Limite de Taxa definem quantos emails um endereço IP de remetente pode enviar dentro de cada período de 30 minutos, o que é uma configuração útil. Pode prevenir abuso de email e ataques de alto volume repentinos de um único IP de remetente.

Ao limitar quantos emails um endereço IP pode enviar em um período de 30 minutos, o sistema pode reduzir o impacto de:

  • Campanhas de spam
  • Bursts de phishing
  • Distribuição de malware
  • Contas ou servidores de remetentes comprometidos
  • Inundação de email estilo negação de serviço

Na página Lista Branca/Lista Negra de IP, podemos contornar a varredura para emails vindos de endereços IP específicos ou bloqueá-los diretamente.

Em Políticas Regionais, podemos aplicar bloqueio geográfico ou lista branca. Também podemos bloquear ou permitir emails com base no idioma do conteúdo.

Em Políticas de Destinatário, podemos configurar regras de varredura ou contornamento com base no endereço de email do destinatário.

A Barracuda também fornece políticas semelhantes para remetentes. Podemos aplicar exceções com base no remetente.

Há também um painel onde podemos definir exceções com base em controles padrão de segurança de email, como DMARC, DKIM e SPF.

Em Políticas de Conteúdo, podemos configurar se deve escanear ou contornar emails com base no nome do arquivo ou tipo de arquivo. Também podemos definir regras de varredura ou contornamento com base no conteúdo do corpo da mensagem usando expressões regulares.

A Barracuda fornece Proteção Avançada contra Ameaças como uma assinatura além do antivírus regular. A Proteção Avançada contra Ameaças (ATP) é um serviço de varredura em nuvem que analisa anexos de email em um ambiente de nuvem seguro para detectar ameaças que antivírus padrão podem perder. Aplica-se apenas a mensagens de entrada e suporta a maioria dos tipos de arquivo MIME.

Há três modos no ATP:

  1. Entregar Primeiro, Depois Escanear tenta escanear o anexo em tempo real conforme o email chega. Se a varredura for concluída a tempo e uma ameaça for detectada, o email é bloqueado. Se a varredura não terminar a tempo, o email é entregue imediatamente sem esperar pelo resultado. A varredura continua rodando em segundo plano e, se uma ameaça for encontrada depois, o destinatário é notificado, mas o email já chegou à caixa de entrada dele. Isso significa que o destinatário poderia abrir um anexo infectado antes que a ameaça seja identificada.
  2. Escanear Primeiro, Depois Entregar escaneia o anexo antes da entrega. Se uma ameaça for detectada, o email é bloqueado. Se estiver limpo, é entregue. Emails pendentes de varredura aparecem no Log de Mensagens com "Varredura Pendente" como motivo. Se uma mensagem permanecer adiada por mais de quatro horas, é quarentenada. Este modo é mais seguro, mas pode atrasar a entrega.
  3. Desabilitado: ATP está desligado totalmente.

A principal compensação aqui é entre velocidade e segurança. "Entregar Primeiro" prioriza a velocidade de entrega, mas introduz uma janela de risco. "Escanear Primeiro" elimina esse risco, mas pode atrasar ou adiar mensagens com anexos.

Na seção Relatórios, a Barracuda cria relatórios detalhados sobre segurança de email:

  • Resumo de tráfego de entrada/saída: Visão geral de toda a atividade de email de entrada e saída, dividida por adiado, bloqueado, quarentenado e permitido.
  • Detalhamento de emails de entrada bloqueados: Detalhamento detalhado de por que emails de entrada foram bloqueados.
  • Principais remetentes/destinatários de email de entrada: Mostra os remetentes/destinatários mais frequentes de email de entrada.
  • Detalhamento dos principais remetentes de entrada bloqueados: Lista os remetentes cujos emails são mais frequentemente bloqueados, com justificativa.
  • Detalhamento dos principais destinatários de entrada bloqueados: Mostra os destinatários internos que são mais frequentemente alvo de emails bloqueados.
  • Principais remetentes de email de saída: Visão geral dos usuários internos que enviam o maior volume de email de saída.
  • Principais remetentes de saída bloqueados: Mostra os usuários internos cujos emails de saída são mais frequentemente bloqueados.

Além disso, podemos agendar relatórios automatizados, o que é um recurso útil. Em vez de fazer login repetidamente para verificar painéis, podemos receber resumos regulares de ameaças, mensagens quarentenadas, tendências de spam, detecções de malware, tentativas de impersonação, ações de política e risco do usuário. Relatórios agendados também podem ajudar os usuários a identificar padrões cedo, como um aumento em emails de phishing, ataques repetidos contra usuários específicos ou um aumento em anexos maliciosos bloqueados.

O menu Syslog à esquerda nos permite encaminhar todos esses registros para um servidor de log de nossa escolha. Este é um recurso útil para integrações SIEM.

No geral, o produto oferece uma ampla gama de recursos, mas tem desempenho inferior na detecção de ameaças. Uma parte significativa da configuração é deixada para o usuário, levantando a questão de se o valor agregado justifica a sobrecarga, particularmente para organizações que já usam o Google Workspace ou o Centro de Conformidade do Microsoft 365.

Principais recursos de soluções de segurança de email em nuvem

Soluções de segurança de email em nuvem analisam o comportamento do usuário, detectam anomalias contextuais, automatizam a resposta e remediação de ameaças e integram-se ao ecossistema de segurança mais amplo. Os principais recursos incluem:

Detecção de ameaças impulsionada por IA

Sistemas de segurança de email em nuvem analisam o contexto da mensagem, histórico do remetente e intenção para sinalizar ataques de phishing e tentativas de impersonação que parecem legítimos na superfície. Isso inclui identificar sinais sutis, como domínios semelhantes ou padrões de tempo incomuns.

Sinais comportamentais importam tanto quanto o conteúdo. Ao rastrear hábitos normais de comunicação, esses sistemas podem detectar anomalias, como um funcionário de finanças recebendo repentinamente solicitações de pagamento urgentes de um novo remetente externo. Esta abordagem é especialmente importante para detectar comprometimento de email comercial (BEC), onde não há malware para escanear e nenhuma bandeira vermelha óbvia.

Arquitetura de proteção em várias camadas

Plataformas de segurança de email em nuvem combinam múltiplas camadas de inspeção para pegar ameaças que escapam de um controle.

  • A análise estática verifica indicadores conhecidos, enquanto o sandboxing dinâmico observa como os anexos se comportam em um ambiente controlado.
  • A inspeção de URL também desempenha um papel fundamental, especialmente para identificar links maliciosos que só ativam após a entrega.
  • Protocolos de autenticação, como SPF, DKIM e DMARC, ajudam a validar a identidade do remetente, reduzindo o risco de falsificação.

Juntas, essas camadas criam um sistema onde cada componente compensa as limitações dos outros.

Proteção contra ameaças emergentes

Atacantes dependem cada vez mais de engano em vez de explorações técnicas. Táticas de engenharia social são projetadas para pressionar os usuários a tomar decisões rápidas, muitas vezes imitando executivos ou fornecedores confiáveis.

Isso inclui campanhas direcionadas, como spear phishing, nas quais as mensagens são adaptadas a um indivíduo ou função específica. Cenários mais avançados envolvem mensagens de voz deepfake ou tentativas de fraude de fatura.

Essas ameaças avançadas não dependem de arquivos maliciosos. Em vez disso, exploram a confiança, tornando a detecção dependente de contexto e intenção em vez de assinaturas.

Detecção em tempo real e resposta automatizada

Uma vez que uma mensagem maliciosa chega a uma caixa de entrada, a janela para danos é limitada. Sistemas de segurança analisam emails conforme chegam e agem imediatamente quando uma ameaça é confirmada.

A automação reduz a carga sobre as equipes de segurança removendo mensagens prejudiciais em todas as caixas de correio afetadas, mesmo após a entrega. Isso limita a propagação de ataques que dependem de encaminhamento interno ou cadeias de resposta.

Fluxos de trabalho de resposta também podem acionar ações mais amplas, como isolar contas ou atualizar regras de detecção com base em novas inteligência.

Monitoramento contínuo e proteção pós-entrega

A filtragem inicial não pega tudo. Técnicas de ataque evoluem e algumas ameaças só são reconhecidas após novos indicadores surgirem.

  • O monitoramento contínuo permite que os sistemas revisitem mensagens entregues e removam ameaças recém-identificadas. Isso é crítico para ataques que usam payloads atrasados ou entrega em etapas.
  • A remediação pós-entrega garante que emails anteriormente perdidos não permaneçam em caixas de entrada uma vez que são classificados como maliciosos.

Continuidade e resiliência de email

A segurança não é apenas sobre bloquear ameaças. A disponibilidade importa tanto quanto. Se o acesso ao email for interrompido, as operações comerciais podem parar.

Recursos de continuidade baseados em nuvem fornecem acesso de backup durante interrupções e suportam recuperação rápida de mensagens e contas. Isso garante que o email comercial permaneça disponível mesmo durante interrupções de serviço ou ataques.

Veja mais dos nossos benchmarks e insights baseados em dados na Pesquisa Google.
GoogleAdicionar como fonte preferencial

Capacidades diferenciadoras de plataformas de segurança de email em nuvem

Segurança focada no usuário (camada humana)

Muitos incidentes começam com uma ação do usuário. É por isso que as plataformas modernas de segurança de email incluem ferramentas que orientam o comportamento em vez de depender apenas da filtragem.

  • Banners de aviso contextuais podem alertar os usuários quando uma mensagem parece suspeita.
  • O treinamento também está se tornando mais adaptativo. Em vez de simulações genéricas, os usuários recebem orientação adaptada aos seus padrões de interação.

Integração de segurança unificada e plataforma

O email não existe isoladamente. Faz parte de um ambiente mais amplo que inclui endpoints, identidades e aplicativos. A integração com sistemas de endpoint e identidade permite respostas coordenadas. Por exemplo, se um email levar ao roubo de credenciais, o sistema pode acionar ações além da caixa de entrada.

Painéis centralizados dão às equipes uma visão mais clara de sua postura geral de segurança, reduzindo a má comunicação entre ferramentas.

Proteção de dados, criptografia e conformidade

O email frequentemente carrega contratos, detalhes financeiros e outros dados sensíveis. Proteger essas informações requer mais do que detecção de ameaças.

  • A criptografia garante que as mensagens permaneçam privadas em trânsito e em repouso. Políticas de prevenção de perda de dados ajudam a prevenir compartilhamento não autorizado, seja acidental ou intencional.
  • Recursos de conformidade suportam requisitos regulatórios, incluindo trilhas de auditoria e políticas de retenção. Isso é especialmente relevante para organizações que operam através de fronteiras e lidam com dados sujeitos a regras legais ou específicas da indústria estritas.

Metodologia de benchmark de segurança de email em nuvem

Benchmarkamos três produtos de segurança de email: Acronis Advanced Email Security (impulsionado pelo Perception Point), Sophos Email Security e Barracuda Email Protection.

O benchmark incluiu 100 testes de ponta a ponta e seguiu quatro princípios.

  1. Impulsionado por cobertura: Cada teste mapeia para uma capacidade que o fornecedor afirma publicamente fornecer.
  2. Ponderado por dificuldade: Perder um teste simples 1/10 sinaliza uma lacuna séria no produto. Perder um teste 9/10 é mais compreensível porque esses casos refletem problemas de detecção de nível de especialista. O método de pontuação separa esses casos em vez de tratar todos os erros igualmente.
  3. Reprodutível: O benchmark é executado com um harness de teste PHP autocontido e verificado por uma suite de verificação separada. Antes que qualquer email de teste seja enviado, o verificador realiza mais de 1.800 verificações para confirmar que as cargas de teste estão completas, válidas e corretamente configuradas.
  4. Ético: Testes de malware usam a string de teste de antivírus EICAR. URLs de phishing apontam para infraestrutura de canário inerte ou inexistente. Todas as caixas de correio de teste são propriedade da equipe de teste.

Selecionamos testes para que as afirmações públicas de cada fornecedor fossem exercitadas pelo menos uma vez. A prioridade foi testar ameaças que os três fornecedores afirmam detectar, o que mantém a comparação lado a lado justa. Também incluímos um número menor de casos específicos do fornecedor onde eram relevantes. Por exemplo, sequestro de conversa é uma afirmação central da Barracuda, detecção de phishing de código QR é explicitamente afirmada pelo Acronis Advanced Email Security e iscas GenAI estilo deepfake são mais frequentemente promovidas por fornecedores primeiro em IA.

O benchmark é organizado em onze categorias. Cada categoria testa um mecanismo de detecção diferente. As contagens de teste são mostradas entre parênteses, com 100 testes no total.

Categoria A: Spam (9 testes)

Esta categoria cobre anúncios farmacêuticos em massa, emails de bomba e despejo de criptomoeda, golpes de loteria, empréstimos de pagamento, aberturas de plataforma de namoro e prospecção fria B2B SEO.

A maioria dos testes nesta categoria é intencionalmente fácil. Dois testes, marketing de graymail e prospecção fria B2B, ficam mais perto da fronteira de falso positivo porque a filtragem agressiva pode bloquear emails comerciais legítimos.

Categoria B: Malware conhecido usando a string de teste EICAR (9 testes)

Esta categoria testa a entrega de EICAR em formatos de anexo comuns e aninhados:

  • Anexo .txt simples,
  • ZIP regular,
  • ZIP protegido por senha com a senha incluída no corpo do email,
  • ZIP aninhado dentro de outro ZIP,
  • EICAR com extensão .exe para testar o manuseio de incompatibilidade de extensão e conteúdo,
  • .tar.gz, arquivo recursivo de três níveis,
  • Arquivo .gz de arquivo único sem wrapper tar,
  • EICAR com quatro kilobytes de lixo pré-posto para testar tolerância de deslocamento.

Estes testes exercitam a descompactação de arquivo, suporte de formato e extração de senha do corpo do email. Estas são capacidades básicas para gateways de email modernos.

Categoria C: Tipos de arquivo de transporte (10 testes)

Esta categoria testa formatos de arquivo comumente usados para transportar ou acionar comportamento malicioso. O conjunto inclui:

  • PDF com JavaScript incorporado e um gatilho OpenAction,
  • HTML smuggling usando URL.createObjectURL em um blob codificado em Base64,
  • SVG com script onload e XHR remoto,
  • Atalho Windows .lnk com payload PowerShell no bloco de argumento,
  • Arquivo poliglota PDF/ZIP,
  • Aplicação HTML .hta com VBScript,
  • Dropper JavaScript do Windows Script Host usando XMLHTTP e ADODB.Stream,
  • Imagem ISO 9660 contendo EICAR,
  • Arquivo de atalho da Internet .url,
  • Arquivo de consulta da Internet do Excel .iqy.

Esta é uma das categorias mais discriminadoras porque os resultados do produto variam amplamente entre esses tipos de transporte.

Categoria D: Phishing de URL (10 testes)

Esta categoria mede a análise de URL em links diretos, redirecionamentos, ofuscação e locais fora do corpo. Inclui:

  • URL de phishing direta em um TLD suspeito,
  • Destino encurtado pelo Bitly,
  • Cadeia de redirecionamento multi-hop através do redirecionador aberto do Google e t.co,
  • Homógrafo IDN Punycode usando "а" cirílico em раypal.com,
  • URL oculta em HTML usando caracteres de largura zero e texto branco de um pixel,
  • URL presente apenas dentro de uma anotação PDF,
  • URI carregando HTML codificado em Base64 com um link de phishing,
  • URL extremamente longa com o host real enterrado na string de consulta,
  • Parâmetro de redirecionamento aberto em um host com aparência legítima,
  • URL de cache do Google AMP que esconde o destino de phishing atrás de google.com/amp/s/.

Categoria E: Phishing de código QR (8 testes)

Esta categoria testa se os produtos podem extrair e inspecionar URLs de phishing ocultos dentro de códigos QR. O conjunto inclui:

  • Códigos QR PNG inline para re-inscrição MFA,
  • Assinatura DocuSign,
  • Acesso a contracheque,
  • Aviso de redelivery de remessa
  • Acesso de correio de voz
  • Redefinição de 2FA do banco.

Também inclui variantes de evasão: um código QR incorporado dentro de um PDF sem conteúdo QR no corpo do email, um código QR entregue como uma imagem envolta em SVG e um código QR definido como um URI de dados de imagem de fundo CSS em vez de uma tag <img>.

Estes casos testam se o scanner examina imagens fora dos contêineres HTML mais óbvios.

Categoria F: Impersonação de marca e domínio (9 testes)

Esta categoria testa impersonação de remetente, domínio, marca e cabeçalho e inclui:

  • Falsificação de nome de exibição de uma conta genérica do Gmail,
  • Domínio typosquat usando m1crosoft-account.com,
  • Homógrafo IDN punycode para Apple
  • Abuso de subdomínio através de microsoft.support-team-portal.tk
  • Imitação do kit de marca do Microsoft usando o logotipo real e estilo Segoe UI
  • Incompatibilidade de remetente e cabeçalho De
  • Impersonação de banco local
  • Uma empresa de comércio eletrônico typosquatting
  • Injeção de cabeçalho de Resultados de Autenticação onde o atacante adiciona valores forjados spf=pass, dkim=pass e dmarc=pass à mensagem.

O último caso testa se os analisadores a jusante confiam em cabeçalhos de autenticação fornecidos pelo atacante em vez de validar os resultados a montante reais.

Categoria G: BEC e spear phishing sem payloads (9 testes)

Esta categoria foca em engenharia social sem anexos ou links maliciosos e inclui:

  • Solicitação de transferência bancária do CEO enviada de uma conta do Gmail,
  • Pretexto de mudança bancária de Comprometimento de Email de Fornecedor,
  • Redirecionamento de salário de autoatendimento de funcionário,
  • Golpe de cartão-presente online de um impostor de CFO
  • Sequestro de conversa usando um assunto Re:Re: e cabeçalhos For Reply-To forjados,
  • Solicitação de evidência confidencial de um escritório de advocacia falso,
  • Prospecção de head-hunter externo com currículo anexado,
  • Pretexto de sequestro de autenticação de dois fatores do WhatsApp,
  • Pretexto interno de M&A que combina linguagem de confidencialidade com urgência.

Categoria H: Extorsão e golpes (9 testes)

Esta categoria cobre padrões comuns de golpe e extorsão. Os testes incluem:

  • Email usando uma senha antiga vazada,
  • Falsa fatura com um link de pagamento malicioso em um PDF,
  • Carta de adiantamento de taxa,
  • Ameaça de confisco da autoridade tributária,
  • Extorsão DDoS contra um site,
  • Aviso de bloqueio falso do Apple iCloud com um link de desbloqueio,
  • Golpe de taxa de alfândega de correio
  • Extorsão de doxing,
  • Golpe de parente preso na alfândega.

Categoria I: Phishing de qualidade GenAI (10 testes)

Esta categoria testa emails de phishing polidos que removem as pistas óbvias nas quais sistemas mais antigos frequentemente confiam. O conjunto inclui:

  • Email de re-verificação do helpdesk de TI com etapas estruturadas e um botão de marca,
  • Pré-leitura falsa de conselho com linguagem de confidencialidade e um link de workspace,
  • Atualização de política de inquilino do Microsoft 365 exigindo re-consentimento dentro de sete dias,
  • Solicitação de assinatura eletrônica do Código de Conduta de RH,
  • Acompanhamento de sucesso do cliente após uma reunião fictícia,
  • Impersonação de resumo de reunião,
  • NDA legal de uma contraparte fictícia,
  • Advisório de CVE crítico estilo CISO,
  • Prévia de resultados de relações com investidores com linguagem de embargo,
  • Resolvedor de conflito de calendário exigindo entrada SSO única.

Cada email nesta categoria foi escrito para parecer uma mensagem comercial competente em inglês nativo. Os testes evitam deliberadamente as pistas de phishing mais antigas, como gramática quebrada, frases estranhas e incompatibilidades óbvias de marca.

Categoria J: Técnicas de evasão (9 testes)

Esta categoria testa ofuscação que pode quebrar a inspeção de conteúdo rasa e inclui:

  • Caracteres Unicode de largura zero dentro de palavras gatilho,
  • Bypass de OCR onde toda a mensagem de phishing é renderizada como um PNG sem texto de corpo escaneável,
  • Caracter de sobrescrita da direita para a esquerda em um nome de arquivo de anexo,
  • Nome de arquivo de dupla extensão,
  • Isca oculta em CSS onde o texto renderizado parece benigno enquanto o DOM contém o conteúdo de phishing,
  • Assunto codificado em palavra RFC 2047,
  • URL com caracteres codificados em hex no host,
  • Assunto homógrafo usando "е" cirílico para "e" latino,
  • URL oculta em um atributo HTML data-* e recuperada no momento do clique por JavaScript inline.

Categoria K: Conjunto de controle e teste de falso positivo (8 testes)

O conjunto de controle contém emails comerciais legítimos que devem passar sem aviso e incluem:

  • Notificações de equipe interna,
  • Relatórios mensais de despesas,
  • Acompanhamentos de reunião,
  • Resumos semanais,
  • Arquivos ZIP protegidos por senha usados para compartilhamento interno legítimo,
  • Lembretes de treinamento,
  • Notícias de manutenção de TI,
  • Emails de agendamento um a um.

Qualquer produto que sinalize uma dessas mensagens recebe uma penalidade de falso positivo.

Arquitetura de dois remetentes

Muitos testes de segurança de email ignoram uma distinção importante entre ataques baseados em conteúdo e ataques baseados em identidade do remetente. Algumas ameaças são perigosas por causa de seus corpos de mensagem ou anexos, independentemente de quem os envia. Outras são perigosas porque o email afirma vir de alguém que não representa. Essas duas classes requerem configurações de envio diferentes.

Dividimos o benchmark em dois grupos de remetentes.

  • Grupo L, Legítimo, 38 testes: Estes emails são enviados de um serviço SMTP autenticado. SPF, DKIM e DMARC alinham corretamente para o domínio de envio. O nome de exibição muda por teste, como Finanças, Helpdesk de TI ou o nome real do testador, mas o endereço De permanece o endereço do remetente autenticado.
    • O Grupo L é usado para categorias baseadas em conteúdo: K, B, C, J e os dois testes de phishing de URL, onde a URL é a ameaça independentemente do remetente.
  • Grupo S, Falsificado, 62 testes: Estes emails são enviados através de um retransmissor SMTP permissivo que não impõe o alinhamento do domínio De. O endereço De é o que o caso de teste especifica, então o alinhamento de SPF e DMARC falha por design.
    • O Grupo S é usado para categorias baseadas em identidade do remetente: A, a maioria de D, E, F, G, H e I.

Esta divisão reflete o comportamento real do atacante. Operadores de phishing frequentemente usam servidores virtuais baratos e domínios descartáveis porque serviços SMTP em nuvem principais, como Gmail, Office 365 e AWS SES, com domínios verificados, impedem que o email seja enviado com um cabeçalho De desalinhado.

Figura 1: Figura mostrando como um servidor de retransmissão SMTP funciona. Um servidor de retransmissão SMTP é um servidor de email de terceiros que recebe emails de um remetente e os encaminha para servidores de destinatários fora do domínio do provedor de email do remetente.

Ponderação de dificuldade

Cada teste tem uma classificação de dificuldade de 1 a 10. A classificação indica o quão difícil um produto de segurança de email competente deve encontrar o teste.

  • 1 a 2, trivial: Estas são assinaturas de livro didático sem ofuscação significativa. Perde-los indica uma lacuna fundamental de detecção. Exemplos são spam farmacêutico, EICAR simples em um ZIP e uma carta nigeriana 419.
  • 3 a 4, bem conhecido: Estes são padrões familiares que produtos modernos devem pegar. Exemplos incluem JavaScript PDF, sextortion de senha vazada e falsificação de nome de exibição de CEO.
  • 5 a 6, intermediário: Estes casos requerem análise mais forte, como IA moderna, sandboxing ou visão computacional, incluindo HTML smuggling, URLs homógrafas IDN e phishing de código QR inline.
  • 7 a 8, avançado: Estes são casos de borda que apenas produtos mais fortes lidam consistentemente, como poliglotas PDF/ZIP, cadeias de redirecionamento multi-hop, impersonação visual de kit de marca e iscas de bypass de OCR apenas em imagem.
  • 9 a 10, especialista: Estes são casos genuinamente difíceis onde pegar é um resultado forte e perder é comum na indústria. Exemplos incluem sequestro de conversa de thread forjada, um acompanhamento de sucesso do cliente de qualidade GenAI e um NDA legal falso de uma contraparte anteriormente desconhecida.
  • Testes de controle: Mensagens da categoria K devem passar. Qualquer detecção nesta categoria conta como um falso positivo.

As médias das categorias seguem a curva de dificuldade pretendida: A spam média 2,2/10, B EICAR média 2,8/10, H extorsão média 3,8/10, C arquivos de transporte média 5,0/10, F impersonação de marca e J evasão média 5,6/10, D phishing de URL média 5,8/10, E phishing de código QR média 6,8/10, G BEC média 6,8/10 e I phishing GenAI média 8,2/10.

Pontuação do benchmark

Cada produto recebe um dos cinco vereditos por teste:

  • BLOQUEAR: A mensagem é quarentenada ou rejeitada (2 pontos).
  • AVISO: O produto injeta um banner, envia o email para lixo ou remove o anexo (0,5 pontos).
  • TARDIO: A mensagem é entregue primeiro, depois removida pós-entrega (1 ponto).
  • FALHA: A mensagem chega à caixa de entrada sem aviso (0 pontos).
  • FP: Uma mensagem do conjunto de controle é sinalizada incorretamente (penalidade de -2 pontos).

A taxa de detecção é calculada como pontos totais divididos pela pontuação máxima possível para testes de ataque, depois expressa como uma porcentagem. A pontuação máxima possível é igual ao número de testes de ataque multiplicado por dois.

A taxa de falso positivo é relatada separadamente. Um produto que atinge 90% de detecção bloqueando email legítimo representa mais risco operacional do que um que atinge 80% de detecção sem falsos positivos.

Reprodutibilidade e ferramentas

O benchmark é executado a partir de um único script PHP autocontido. O script constrói 100 mensagens MIME na memória com um construtor multipart personalizado. Gera as cargas localmente, incluindo ZIPs, ZIPs criptografados com AES-256, arquivos tar.gz, arquivos .gz de arquivo único, PDFs com ações JavaScript, amostras de HTML smuggling, arquivos SVG com JavaScript onload, arquivos Windows .lnk com o CLSID de Link de Shell correto e bloco de argumento UTF-16LE, e uma imagem de disco ISO 9660 mínima.

O script envia cada teste através do caminho SMTP correto com base em seu grupo de remetente.

Cada mensagem inclui cabeçalhos de rastreamento: X-Bench-Id, X-Bench-Run, X-Bench-Product, X-Bench-Category, X-Bench-Case e X-Bench-Group. Estes cabeçalhos tornam cada teste rastreável através de caixas de entrada, consoles de quarentena e logs de produto.

Um harness de verificação separado executa mais de 1.800 verificações de sanidade antes da transmissão. Valida que cada teste tem os campos necessários, cada classificação de dificuldade está dentro de [1, 10] ou zero para controles, e EICAR está presente e recuperável de cada anexo da categoria B, incluindo arquivos protegidos por senha e aninhados triplamente.

O verificador também verifica que PDFs contêm cabeçalhos %PDF- válidos e marcadores %%EOF, PNGs contêm assinaturas válidas e blocos IEND, SVGs são analisados como XML bem formado, o arquivo LNK tem o CLSID de Link de Shell correto e a string de argumento PowerShell esperada, o Descritor de Volume Primário ISO 9660 aparece no setor 16 com a assinatura \x01CD001 correta, e a inferência de grupo corresponde à divisão documentada do Grupo L e Grupo S.

Um terceiro script processa os CSVs por produto após a entrada manual de vereditos. Produz um relatório comparativo com uma tabela de veredito lado a lado por teste, taxas de detecção por categoria, pontuações totais, porcentagens de taxa de detecção, contagens de falso positivo e três sub-tabelas forenses:

  1. casos triviais-mas-perdidos, definidos como dificuldade ≤ 2 com pelo menos uma FALHA
  2. casos de alta-dificuldade-mas-pegos, definidos como dificuldade ≥ 8 com pelo menos um BLOQUEIO
  3. todos os incidentes de falso positivo

Éticos e restrições operacionais

Nenhum malware real foi criado ou transmitido. Anexos maliciosos usam a string de teste de antivírus EICAR, um documento de teste de 68 caracteres definido pelo Instituto Europeu de Pesquisa de Antivírus de Computador, ou demonstradores benignos. Exemplos incluem um PDF cujo JavaScript apenas chama app.alert, uma página HTML que usa URL.createObjectURL na string EICAR e um SVG cujo onload chama um endpoint inexistente.

Nenhuma infraestrutura de phishing ao vivo foi usada. URLs de teste resolvem para um de três destinos seguros: o TLD reservado .invalid definido no RFC 2606, domínios placeholder .tk sob nosso controle que servem um 404, ou hosts paródia como m1crosoft-account.com e xn--pple-43d.com registrados apenas para o benchmark e não servindo conteúdo.

Nenhuma página de coleta de credenciais foi implantada. Todas as caixas de correio de teste são propriedade e monitoradas pela equipe de teste. Credenciais SMTP são escopadas ao benchmark e rotacionadas após cada engajamento.

Limitações do benchmark de segurança de email

Excluímos várias categorias porque requerem infraestrutura ou condições além de um benchmark de um tiro:

  • Viragem de URL no momento do clique: Este ataque entrega uma URL que parece benigna no momento da entrega e depois redireciona para um destino de phishing. Testá-lo exigiria um servidor HTTP com estado que muta seu conteúdo, mais uma ação de clique do lado do usuário.
  • Tomada de conta e phishing lateral: Isso exigiria o controle de uma caixa de correio interna, o que estava fora da configuração do benchmark.
  • Malware dinâmico consciente de sandbox: Amostras polimórficas reais que detectam virtualização e evitam detonação foram excluídas por razões éticas.
  • Páginas de destino de kit de phishing ao vivo: Todas as URLs resolvem para hosts inertes. O benchmark não testa a experiência pós-clique.

O remetente do Grupo S requer um retransmissor SMTP que permita cabeçalhos De desalinhados. Serviços SMTP em nuvem geralmente rejeitam esses testes no nível da rede. Quando um retransmissor permissivo não está disponível, o benchmark degrada para Grupo L apenas, o que deixa 38 testes baseados em conteúdo.

Perguntas frequentes

As tecnologias de segurança de email em nuvem protegem sistemas de email e comunicações de ameaças cibernéticas, como phishing, malware, spam e violações de dados. Em vez de depender de infraestrutura local, essas soluções operam na nuvem para monitorar e filtrar o tráfego de email, detectar conteúdo ou comportamento suspeito e aplicar políticas de segurança.

Ao aproveitar técnicas como inteligência de ameaças, aprendizado de máquina, filtragem de spam e análise automatizada, a segurança de email em nuvem ajuda as organizações a proteger informações sensíveis e manter comunicações seguras em plataformas como Microsoft 365, Google Workspace e Gmail.

Qualquer organização que dependa de email está exposta ao risco, mas como esse risco se manifesta depende muito do tamanho e do setor.

Empresas menores tendem a ser alvos mais fáceis. Elas frequentemente carecem de equipes de segurança dedicadas, tornando-as mais vulneráveis a ataques comuns. Por outro lado, grandes empresas enfrentam ameaças mais sofisticadas, como spear phishing e comprometimento de email comercial (BEC), nas quais um único email bem elaborado pode levar a perdas financeiras graves.

Alguns setores estão sob ainda mais pressão. Setores como saúde, finanças, governo e serviços jurídicos lidam com dados sensíveis e operam sob regulamentações estritas, o que os torna especialmente atraentes para atacantes.

Muitas organizações também precisam de segurança de email em nuvem porque os controles nativos da plataforma podem não ser suficientes por conta própria. Empresas de segurança de email como Abnormal Security, Sublime Security, Check Point e outros fornecedores de segurança de email fornecem proteção adicional, complementos e capacidades baseadas em API para ajudar as organizações a se manterem à frente de ataques em evolução.

Cite esta pesquisa

Escolha o formato adequado ao local onde você vai publicar. Colar a versão com link no seu CMS preserva o backlink.

Sedat Dogan (2026) - "Soluções de Segurança de Email: Acronis, Sophos & Barracuda". Publicado on-line em AIMultiple.com. Acessado em 22 Junho 2026, em: https://aimultiple.com/email-security-solutions [Recurso on-line]

Dogan, S. (2026, 22 Junho). Soluções de Segurança de Email: Acronis, Sophos & Barracuda. AIMultiple. https://aimultiple.com/email-security-solutions

@misc{dogan2026,
  author = {Dogan, Sedat},
  title  = {{Soluções de Segurança de Email: Acronis, Sophos & Barracuda}},
  year   = {2026},
  month  = jun,
  howpublished    = {\url{https://aimultiple.com/email-security-solutions}},
  note   = {AIMultiple. Acessado em 22 Junho 2026}
}
Sedat Dogan
Sedat Dogan
CTO
Sedat é um líder em tecnologia e segurança da informação com experiência em desenvolvimento de software, coleta de dados web e cibersegurança. Sedat: - Possui 20 anos de experiência como hacker ético e guru de desenvolvimento, com vasta expertise em linguagens de programação e arquiteturas de servidores. - É consultor de executivos de alto nível e membros do conselho de administração de empresas com operações tecnológicas de alto tráfego e missão crítica, como infraestrutura de pagamentos. - Possui grande perspicácia comercial, além de sua expertise técnica.
Ver perfil completo

Seja o primeiro a comentar

Seu endereço de e-mail não será publicado. Todos os campos são obrigatórios. Os comentários são deixados em seu idioma original.

0/450