Was ist das Sophos Email Monitoring System (EMS)?
Mit dem Sophos Email Monitoring System (EMS) steht ab sofort ein neuer, passiver E-Mail-Connector für Sophos Central zur Verfügung. EMS bietet Unternehmen eine nicht eingreifende Sichtbarkeitsebene für eingehende und ausgehende E-Mails, ohne klassische Schutzfunktionen wie Quarantäne oder Inhaltsfilterung.
Anders als Central Email Advanced schützt EMS nicht aktiv vor Phishing oder Malware, sondern stellt Telemetriedaten bereit, die zur Analyse, Rückverfolgung und Reaktion im Rahmen von XDR oder MDR genutzt werden können. EMS eignet sich ideal als „Integration Pack für E-Mail“ für Unternehmen, die E-Mail-Security-Lösungen anderer Hersteller im Einsatz haben, aber die Vorteile von Sophos XDR und MDR nutzen möchten.
Für wen eignet sich Sophos EMS?
Sophos EMS richtet sich primär an Organisationen, die keine aktive E-Mail-Sicherheitslösung von Sophos nutzen – etwa weil bereits ein anderer Anbieter für Email-Sicherheit eingesetzt wird. EMS ermöglicht in diesen Fällen eine zweite Sichtbarkeitsebene zur ergänzenden Bedrohungsanalyse, unabhängig vom bestehenden E-Mail-Gateway.
Besonders relevant ist EMS für folgende Zielgruppen:
- XDR-Nutzer: Unternehmen, die Sophos XDR einsetzen und E-Mail-bezogene Telemetriedaten in den Sophos Data Lake integrieren möchten.
- MDR-Kunden: Organisationen, die Sophos MDR Essentials oder MDR Complete verwenden und E-Mail-Telemetrie für die 24/7-Überwachung bereitstellen wollen – ohne ihre bestehende E-Mail-Infrastruktur zu verändern.
- Compliance-getriebene Organisationen: Unternehmen, die eine journalbasierte Überwachung des E-Mail-Verkehrs benötigen, z. B. zur Dokumentation, Analyse verdächtiger Aktivitäten oder forensischer Nachverfolgung.
EMS eignet sich auch für Unternehmen, die langfristig zu Sophos Central Email Advanced migrieren möchten, aber aktuell noch Drittsysteme im Einsatz haben. In Kombination mit Phish Threat lassen sich zusätzlich Awareness-Daten und Verhaltensanalysen einbeziehen.
Funktionen und Einschränkungen von Sophos EMS im Überblick
Mit dem Email Monitoring System bietet Sophos eine passive, aber umfassende Analyse des E-Mail-Verkehrs, ohne den Transport oder die Zustellung von Nachrichten zu beeinflussen. Die Lösung wurde speziell für Microsoft 365 und Google Workspace entwickelt und nutzt journalbasierte E-Mail-Kopien zur Auswertung.
Stärken und Vorteile von Sophos EMS
- Non-intrusives Monitoring: Der E-Mail-Verkehr wird vollständig überwacht, aber nicht verändert – kein Eingriff in bestehende Sicherheitsmechanismen.
- Zweite Verteidigungsebene: Ergänzt vorhandene E-Mail-Gateways oder Drittsysteme mit tiefergehender Bedrohungstransparenz.
- Transparente Bedrohungseinblicke: Auswertung von Spam, Malware, Phishing und verdächtigen Inhalten – einsehbar über die Sophos Central Message History.
- XDR/MDR-Integration: Telemetriedaten werden in den Sophos Data Lake eingespeist und stehen für automatisierte Bedrohungsanalyse und Response zur Verfügung.
- Manuelle Rückholung (Clawback): In Microsoft 365 können bereits zugestellte E-Mails nachträglich manuell zurückgerufen werden.
Einschränkungen im Vergleich zu Sophos Central Email Advanced
Im Gegensatz zu Sophos Central Email Advanced (CEMA) bietet EMS keine aktiven Schutzfunktionen. Die folgenden Funktionen sind nicht enthalten:
- Keine automatische Bedrohungsabwehr – EMS erstellt Berichte, aber greift nicht aktiv ein
- Kein URL Rewriting, kein Quarantänemanagement und keine Endnutzerportale
- Keine E-Mail-Verschlüsselung oder DLP-Maßnahmen
- Keine automatisierte Remediation nach der Zustellung
Damit ist EMS eine reine Monitoring- und Analyse-Lösung bzw. ein Telemetrie-Connector für E-Mail-Verkehr. Wer aktive E-Mail-Sicherheit wünscht, sollte auf CEMA umsteigen oder eine Migration planen.
Integration in Sophos XDR & MDR
Eine der wichtigsten Stärken von Sophos EMS liegt in der Möglichkeit, E-Mail-Telemetriedaten in das Sophos XDR und MDR Ökosystem zu integrieren. Auf diese Weise wird E-Mail-Sicherheit nicht isoliert betrachtet, sondern als Teil eines ganzheitlichen Detection-and-Response-Ansatzes.
EMS speist verdichtete E-Mail-Metadaten in den Sophos Data Lake ein. Diese Informationen fließen dann in:
- XDR-Abfragen: Sicherheitsteams erhalten einen vollständigen Überblick über verdächtige Aktivitäten im Mail-Verkehr und können diesen mit anderen Telemetriedaten korrelieren.
- MDR-Analysen: Die globalen Analysten von Sophos nutzen EMS-Daten, um auch E-Mail-basierte Bedrohungen im Rahmen der 24/7-Überwachung frühzeitig zu identifizieren.
Durch die zentrale Aufbereitung der Daten in Sophos Central können alle sicherheitsrelevanten Informationen konsolidiert dargestellt werden – inklusive E-Mail-Logs, Warnungen und Verhaltensanalysen. Das schafft mehr Transparenz, beschleunigt Reaktionszeiten und sorgt für ein integriertes Incident Response Framework.
Insbesondere für Organisationen, die Email Advanced nicht im Einsatz haben oder einen anderen E-Mail-Filter verwenden, ermöglicht EMS somit eine Telemetrie-Anbindung an die Detection-Systeme von Sophos. So lässt sich die E-Mail-Kommunikation vollständig in zentralen Bedrohungsanalysen einbinden, ohne bestehende Schutzsysteme zu verändern.
EMS vs. Central Email Advanced
Sophos EMS und Sophos Central Email Advanced (CEMA) verfolgen unterschiedliche Ansätze in der E-Mail-Sicherheit. Während EMS als reine Monitoring-Lösung ohne aktive Eingriffe fungiert, bietet CEMA umfassende Schutzmechanismen gegen Malware, Phishing, Spam und Datenlecks.
| Funktion | Sophos EMS | Sophos Central Email Advanced |
|---|---|---|
| Scan des gesamten E-Mail-Verkehrs | ✔ (passiv) | ✔ (aktiv mit Richtlinien) |
| Beeinflussung der E-Mail-Zustellung | ❌ | ✔ |
| Schutz vor Malware, Spam und Phishing | ❌ (nur Sichtbarkeit) | ✔ |
| Integration in XDR/MDR | ✔ | ✔ |
| Clawback-Funktion (manueller Rückruf) | ✔ (nur M365) | ✔ (automatisiert & manuell) |
| Self-Service Portal & Quarantäne | ❌ | ✔ |
| Vollständige Content-basierte Richtlinien | ❌ | ✔ inkl. DLP, Verschlüsselung etc. |
EMS ist somit keine Alternative zu Sophos Central Email Advanced, sondern ein Ergänzungsprodukt für spezifische Szenarien – etwa wenn bereits andere E-Mail-Sicherheitslösungen im Einsatz sind und zusätzliche Sichtbarkeit oder eine Anbindung an XDR/MDR gewünscht ist.
Video: Konfiguration Sophos EMS (Email Monitoring System)
Das folgende offizielle Sophos Techvids-Tutorial demonstriert die Einrichtung des Email Monitoring System (EMS) in unterschiedlichen Umgebungen. Gezeigt werden die Konfigurationsschritte für Microsoft 365 im Gateway- und Mailflow-Modus sowie für Google Workspace. Zusätzlich wird die Verifizierung von Domains und Verbindungseinstellungen erläutert. Abschließend wird veranschaulicht, wie E-Mail-Nachrichten mit EMS überwacht und für Reporting-Zwecke sichtbar gemacht werden können. Das Video bietet eine praxisnahe Ergänzung zu den beschriebenen Funktionen und erleichtert die Integration in bestehende Infrastrukturen.
Fazit: Sophos EMS als Monitoring-Lösung für hybride Umgebungen
Sophos EMS ist kein vollständiges E-Mail-Security-Produkt, sondern eine monitor-only Erweiterung, die gezielt für Unternehmen ohne Sophos Central Email Advanced entwickelt wurde. Insbesondere für Organisationen, die bereits MDR oder XDR einsetzen, schließt EMS eine entscheidende Lücke im Telemetrie-Konzept: E-Mail-Daten gelangen über EMS in den Sophos Data Lake und stehen für die Bedrohungsanalyse zur Verfügung – unabhängig vom genutzten Gateway.
Wer also auf Microsoft 365 oder Google Workspace setzt, aber keine zentrale E-Mail-Sicherheitslösung von Sophos verwendet, kann mit EMS dennoch von einem konsolidierten Sicherheitsmonitoring profitieren. Das stärkt nicht nur die Sichtbarkeit, sondern ermöglicht eine tiefergehende Untersuchung verdächtiger Aktivitäten durch XDR-Teams oder den Sophos MDR-Service.
Für Unternehmen mit hohen Anforderungen an aktive Abwehr, Richtliniendurchsetzung und Verschlüsselung bleibt Sophos Central Email Advanced weiterhin die umfassendere Lösung.
Ein individueller Sicherheitsansatz, bestehend aus präventiven Schutzmaßnahmen, Awareness-Trainings und zentralem Monitoring mit EMS oder CEMA, ist empfehlenswert. Wer sich unsicher ist, welche E-Mail-Sicherheitsstrategie zu den bestehenden Lösungen passt, kann sich gerne an unser Expertenteam wenden.
FAQ: Häufige Fragen zu Sophos EMS
Ist Sophos EMS eine eigenständige E-Mail-Sicherheitslösung?
Nein. Sophos EMS ist eine reine Monitoring-Lösung ohne aktive Schutzfunktionen. Sie analysiert E-Mail-Verkehr passiv und liefert Informationen zu Bedrohungen, greift jedoch nicht in den Mailflow ein. Für Schutzfunktionen ist Sophos Central Email Advanced erforderlich.
Für wen eignet sich Sophos EMS besonders?
EMS eignet sich vor allem für Unternehmen, die z.B. Microsoft 365 oder Google Workspace nutzen, aber eine andere E-Mail-Sicherheitslösung einsetzen. Mit EMS erhalten sie eine zusätzliche Telemetrie-Ebene für MDR oder XDR.
Wie unterscheidet sich Sophos EMS von Sophos Central Email Advanced?
EMS bietet ausschließlich Sichtbarkeit ohne aktive Schutzmaßnahmen wie Anti-Phishing, Malware-Filter, DLP oder Verschlüsselung. Sophos Central Email Advanced ist eine vollständige E-Mail-Sicherheitsplattform mit umfassendem Schutz, Policy-Management und Reporting.
Ist Sophos EMS mit anderen Anbietern kombinierbar?
Ja. EMS lässt sich problemlos in Umgebungen integrieren, in denen andere E-Mail-Sicherheitslösungen wie Proofpoint, Barracuda oder Microsoft Defender for Office 365 aktiv sind. Es dient als ergänzender Monitoring-Layer für mehr Transparenz und Bedrohungserkennung.
Welche Daten liefert EMS für Sophos MDR oder XDR?
EMS speist strukturierte E-Mail-Telemetriedaten – darunter Spam, Phishing-Versuche, Malware-Indikatoren und Anomalien – in den Sophos Data Lake. Diese Informationen werden vom MDR-Team oder von internen Teams mit XDR für tiefere Analysen verwendet.
Wie migriere ich von Sophos Central Email Advanced zu Sophos EMS?
Um von Sophos Central Email Advanced zu EMS (Email Monitoring System) zu wechseln, müssen zunächst die Domains aus den Gateway- bzw. Mailflow-Konfigurationen entfernt werden. Anschließend ist es erforderlich, die MX- oder Mailflow-Einstellungen zurückzusetzen. Danach muss in den Kontoeinstellungen der Monitor Only Mode aktiviert werden. Abschließend erfolgt die Journaling-Konfiguration zur erneuten Domain-Anbindung.
Wie migriere ich von Sophos EMS zurück zu Central Email Advanced?
Bei der Rückkehr zu Central Email Advanced müssen die Domains zunächst aus Sophos EMS entfernt und das Journaling deaktiviert werden. Danach ist in den Kontoeinstellungen der Monitor Only Mode zu deaktivieren. Schließlich erfolgt die erneute Einrichtung der Gateway- oder Mailflow-Konfigurationen wie gewohnt.
Wie überprüfe ich, ob der EMS-Modus aktiviert ist?
Nach Lizenzaktivierung wird der EMS-Modus automatisch aktiviert. Die Einstellung kann über das Profilsymbol in Sophos Central unter Account Preferences überprüft werden. Ist Monitor Only Mode (EMS) deaktiviert, kann er dort manuell aktiviert werden.
Wie lassen sich Postfächer in Sophos EMS hinzufügen?
Postfächer lassen sich in Sophos EMS entweder automatisch über ein Verzeichnisdienst-Sync (z. B. AD oder Microsoft Entra ID), manuell über die Benutzeroberfläche oder durch den Import einer CSV-Datei hinzufügen.
Wie wird eine Domain in Sophos EMS integriert?
Domains werden in Sophos Central unter Email Protection > Settings > EMS Domain Settings hinzugefügt. Vor Zustellung müssen diese per TXT-Record im DNS verifiziert werden. Anschließend wird die Richtung (Inbound/Outbound) sowie der Journaling-Quellbereich (z. B. Microsoft 365, Google Workspace, Custom Gateway) definiert. Die Journaling-Konfiguration im Maildienst ist essenziell, um EMS korrekt einzubinden.
Welche Richtlinien und Einstellungen lassen sich in EMS konfigurieren?
Im EMS-Modus stehen lediglich Email Security Policies und Data Control Policies zur Verfügung. Diese lösen keine Aktionen aus, sondern dienen rein der Erkennung und Berichterstattung. Sie sollten an bestehende Richtlinien des primären E-Mail-Schutzes angepasst werden.
Wie teste ich, ob die EMS-Konfiguration funktioniert?
Nach vollständiger Einrichtung kann die Funktion durch Testmails überprüft werden. Diese sollten in der Message History unter Email Protection > Reports > Message History auftauchen. Fehlt der Eintrag, empfiehlt es sich, die Zustellungspfad-Einstellungen und die Journalregeln zu prüfen. Bei Problemen unterstützen wir und der Sophos Support.
