Sophos Email: Contact Trace and Recall schützt vor intern weitergeleiteten Bedrohungen

Was ist Contact Trace and Recall?

Contact Trace and Recall ist eine neue Funktion in Sophos Email Plus, mit der Administratoren intern weitergeleitete oder intern beantwortete E-Mails nach der Zustellung verfolgen und zurückrufen können. Die Funktion ist Teil der stärkeren Integration von Sophos Email mit Microsoft 365 und baut auf den bestehenden Post-Delivery-Protection-Funktionen auf.

Das Ziel ist klar: Wenn eine gefährliche E-Mail doch im Postfach landet und anschließend intern weitergeleitet wird, soll die Verbreitung schnell sichtbar und kontrollierbar werden. Bisher war dies oft aufwendig. Administratoren mussten prüfen, wer die Nachricht erhalten hat, wohin sie weitergeleitet wurde und welche Postfächer betroffen sind. CTR bündelt diese Informationen in Sophos Central.

Experteneinschätzung: Post-Delivery-Schutz wird immer wichtiger, weil E-Mail-Angriffe nicht mit der ersten Zustellung enden. Entscheidend ist, wie schnell ein Unternehmen erkennt, ob eine Nachricht intern weiterverbreitet wurde und ob sie aus betroffenen Postfächern entfernt werden kann.

Warum interne Weiterleitungen ein Risiko sind

Viele E-Mail-Sicherheitslösungen konzentrieren sich auf den Moment vor der Zustellung. Das ist wichtig, reicht aber nicht immer aus. Moderne Phishing-Mails, kompromittierte Absender oder bislang unbekannte Bedrohungen können im ersten Schritt unauffällig wirken. Wird eine solche Nachricht zugestellt und anschließend intern weitergeleitet, wächst der Kreis der betroffenen Empfänger schnell.

Das Problem verschärft sich, wenn Mitarbeitende einer intern weitergeleiteten Nachricht stärker vertrauen als einer externen E-Mail. Kommt die Weiterleitung von einer Kollegin, einem Vorgesetzten oder einer bekannten Abteilung, sinkt die Aufmerksamkeit. Dadurch können Phishing-Links, schädliche Anhänge oder Betrugsversuche zusätzliche Empfänger erreichen.

Genau hier bietet CTR einen praktischen Mehrwert. Die Funktion macht sichtbar, wie weit eine Nachricht intern gereist ist. Zudem zeigt sie an, welche Empfänger die E-Mail bereits gelesen haben. Das hilft Administratoren, die tatsächliche Exposition besser einzuschätzen.

So funktioniert CTR in Sophos Central

CTR wird in Sophos Central über die Message-History-Funktionen von Sophos Email genutzt. Administratoren öffnen eine verdächtige oder relevante eingehende Nachricht und rufen im Detailbereich die internen Weiterleitungen ab. Die Ergebnisse werden dynamisch aus Microsoft 365 abgefragt und nach Empfängern gruppiert.

Dadurch entsteht ein nachvollziehbarer Verlauf: Wer hat die ursprüngliche Nachricht erhalten? Wohin wurde sie intern weitergeleitet? Welche Empfänger sind betroffen? Wurde die Nachricht bereits gelesen? Diese Informationen bilden die Grundlage für eine gezielte Reaktion.

Die Funktion ist insbesondere für Security-Teams hilfreich, die bei E-Mail-Vorfällen schnell entscheiden müssen, ob ein Rückruf notwendig ist. Statt nur die ursprüngliche Nachricht zu entfernen, können auch interne Kopien einbezogen werden.

Interne Weiterleitungen in Message History anzeigen

Die Analyse beginnt in Sophos Central unter Reports > Email Security Logs > Message History. Dort klicken Administratoren auf den Betreff einer eingehenden Nachricht, um die Details zu öffnen.

Im Tab Details steht die Funktion Load internal forwards zur Verfügung, sofern die technischen Voraussetzungen erfüllt sind. Nach dem Klick lädt Sophos Central die intern weitergeleiteten oder intern beantworteten Nachrichten. Die Ergebnisse erscheinen in einer eigenen Tabelle und werden nach Empfänger zusammengefasst.

Die Abfrage erfolgt dynamisch. Das ist wichtig, weil interne Weiterleitungen noch stattfinden können, während ein Vorfall bereits untersucht wird. Administratoren können die Ergebnisse daher erneut laden, um den aktuellen Stand zu prüfen.

Welche Informationen zeigt Sophos Central?

• Empfänger: Postfächer, die die intern weitergeleitete oder beantwortete Nachricht erhalten haben.
• Status: Informationen zur Zustellung und zum Verarbeitungsstatus.
• Lesestatus: Hinweis darauf, ob Empfänger die Nachricht bereits gelesen haben.
• Zusätzliche Details: Technische Informationen, die bei der Analyse und beim Clawback helfen.

Clawback intern weitergeleiteter E-Mails

Der zentrale operative Nutzen von CTR liegt im Clawback. Damit können Administratoren Nachrichten aus Empfängerpostfächern zurückrufen und in die Post-Delivery-Quarantäne verschieben. Neu ist, dass Sophos dabei auch intern weitergeleitete oder intern beantwortete Kopien berücksichtigen kann.

Nach dem Laden der internen Weiterleitungen wählen Administratoren die betroffenen Empfänger in der Tabelle aus und starten den Clawback. Alternativ kann der Rückruf direkt aus der Message History erfolgen. Dort lassen sich bis zu 100 Nachrichten gleichzeitig auswählen. Intern weitergeleitete Kopien werden in die Aktion einbezogen, sofern die Option entsprechend aktiviert ist.

Nach einem erfolgreichen Clawback landen die Nachrichten in der Post-Delivery-Quarantäne. Dort können sie geprüft und bei Bedarf freigegeben werden, wenn sich der Verdacht nicht bestätigt.

Automatischer und manueller Rückruf

CTR unterstützt zwei Betriebsarten: automatische Remediation und manuelle On-Demand-Clawbacks. Beide Varianten sind für unterschiedliche Sicherheitsprozesse relevant.

Automatischer Clawback mit Auto Search and Remediate

Wenn Auto Search and Remediate aktiviert ist und die Option Include internally forwarded emails eingeschaltet wurde, werden intern weitergeleitete Kopien automatisch zusammen mit der ursprünglichen Nachricht zurückgerufen. Das ist besonders wertvoll bei bestätigten Bedrohungen, bei denen schnelle Reaktion wichtiger ist als manuelle Einzelprüfung.

Manueller Clawback bei gezielten Untersuchungen

Beim On-demand Clawback entscheiden Administratoren selbst, welche Nachrichten zurückgerufen werden. Auch hier kann die Option für intern weitergeleitete E-Mails aktiviert werden. So lassen sich gezielt die ursprüngliche Nachricht und zugehörige interne Kopien entfernen.

Beim manuellen Rückruf kann zudem ein Grund ausgewählt werden, etwa Spam, Malware, Phishing oder unerwünschte E-Mail. Bei bestimmten Gründen kann die Nachricht zusätzlich an SophosLabs gemeldet werden. Das unterstützt die Verbesserung der Erkennung.

Voraussetzungen und Einschränkungen

CTR ist leistungsstark, aber an klare Voraussetzungen gebunden. Die Funktion gilt für Sophos Email Plus und richtet sich an Kunden mit Microsoft 365. Außerdem muss die betroffene Domain für Post-Delivery Protection angebunden sein.

Wichtige Einschränkungen

• CTR funktioniert nur für E-Mails, die innerhalb der Organisation weitergeleitet oder beantwortet wurden.
• Extern weitergeleitete Nachrichten liegen außerhalb des Rückrufs.
• Der Button Load internal forwards erscheint nur, wenn die Nachricht an ein unterstütztes Microsoft 365 Postfach in einer für Post-Delivery Protection verbundenen Domain zugestellt wurde.
• Ein Clawback kann je nach Verarbeitung durch den Mailbox-Anbieter einige Minuten dauern.
• Eine Nachricht und zugehörige interne Kopien können nur einmal zurückgerufen werden. Werden sie später aus der Quarantäne freigegeben, ist kein erneuter Clawback möglich.

Einordnung für IT-Administratoren

Für Administratoren ist CTR vor allem in Incident-Response-Situationen nützlich. Wird eine gefährliche Nachricht erkannt, muss schnell klar sein, ob nur ein einzelnes Postfach betroffen ist oder ob sich die E-Mail intern verbreitet hat. CTR verkürzt diesen Analyseweg deutlich.

Der größte Vorteil entsteht bei Phishing-Kampagnen, CEO-Fraud-Versuchen und Malware-Mails, die über vertrauenswürdige interne Weiterleitungen zusätzliche Reichweite erzielen. Statt jeden Empfänger manuell zu identifizieren, können Security-Teams die Verbreitung direkt in Sophos Central nachvollziehen.

Besonders sinnvoll ist die Funktion in Kombination mit bestehenden Schutzmaßnahmen wie Phishing-Schutz, Benutzer-Awareness und Endpoint-Security. E-Mail-Sicherheit bleibt mehrstufig: Prävention vor der Zustellung, Analyse nach der Zustellung und schnelle Reaktion im Ernstfall.

Empfohlene Maßnahmen für Unternehmen

• Post-Delivery Protection prüfen: Stellen Sie sicher, dass relevante Microsoft 365 Domains korrekt verbunden sind.
• Auto Search and Remediate bewerten: Prüfen Sie, ob automatische Rückrufe mit intern weitergeleiteten E-Mails in Ihre Sicherheitsprozesse passen.
• Administratoren schulen: Teams sollten wissen, wo Message History, Internal Forwards und Clawback-Funktionen zu finden sind.
• Quarantäne-Prozesse definieren: Nach einem Clawback sollten verdächtige Nachrichten strukturiert geprüft werden.
• Awareness nicht vernachlässigen: Auch mit CTR bleibt Schulung wichtig, da Nutzer intern weitergeleiteten Nachrichten oft stärker vertrauen.

Fazit: CTR stärkt den Post-Delivery-Schutz in Sophos Email Plus

Mit Contact Trace and Recall schließt Sophos eine wichtige Lücke im E-Mail-Schutz für Microsoft 365 Umgebungen. Administratoren können nicht nur die ursprüngliche gefährliche Nachricht zurückrufen, sondern auch intern weitergeleitete oder beantwortete Kopien einbeziehen. Das verbessert die Sichtbarkeit, beschleunigt die Reaktion und reduziert das Risiko, dass sich Phishing oder Malware innerhalb der Organisation weiter ausbreiten.

Für Unternehmen, die Sophos Email Plus einsetzen oder ihre E-Mail-Sicherheit modernisieren möchten, ist CTR ein starkes Argument für konsequenten Post-Delivery-Schutz. Gerade in Microsoft 365 Umgebungen erhöht die Funktion die Kontrolle über bereits zugestellte Nachrichten und macht Incident Response deutlich effizienter.