Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
E-Mail-Sicherheit Glossar

E-Mail-Gateway (SEG - Secure Email Gateway)

Ein Secure Email Gateway (SEG) ist eine Sicherheitslösung die eingehende und ausgehende E-Mails auf Malware, Phishing, Spam und Policy-Verletzungen prüft. SEGs analysieren E-Mail-Header, Body und Attachments, nutzen Sandboxen für verdächtige Dateien und setzen Anti-Spoofing-Mechanismen (SPF, DKIM, DMARC) durch. Marktführer sind Proofpoint, Mimecast, Microsoft Defender for Office 365 und Cisco Secure Email.

E-Mail-Gateways sind die wichtigste technische Verteidigungslinie gegen Phishing - dem häufigsten Initial-Access-Vektor. Über 90% aller Cyberangriffe beginnen mit einer E-Mail. Ein SEG filtert Spam und Malware, erkennt Phishing-Links und saniert gefährliche Anhänge. Aber: kein SEG ist perfekt - gezielte Spear-Phishing-Mails umgehen regelmäßig automatische Filter.

SEG-Funktionen und Architektur

Kernfunktionen eines Secure Email Gateways:

Anti-Spam:
  → Heuristik: Header-Analyse, Content-Scoring, Blacklists
  → Machine Learning: Sprachmodelle erkennen Spam-Muster
  → Reputation: Sender-IP und Domain-Reputation (Spamhaus, Barracuda)
  → Bayesian Filter: lernfähig auf Basis von Nutzer-Feedback
  → Typische Erkennungsrate: 99%+ für Bulk-Spam

Anti-Malware:
  → Statische Analyse: Signatur-basiertes Scannen (multiple AV-Engines)
  → Dynamische Analyse: Sandbox-Detonation (verdächtige Anhänge in VM ausführen)
  → CDR (Content Disarm and Reconstruction): PDFs/Office-Dokumente "bereinigen"
    → Makros entfernen, externe Links kappen, JavaScript deaktivieren
    → Saubers Dokument ohne Malware → weniger False Positives als Block

Anti-Phishing:
  → URL-Analyse: bekannte Phishing-Domains (Blacklists)
  → URL-Rewriting: alle Links durch Gateway umleiten + scan-on-click
  → Lookalike-Domain-Erkennung: firma.de vs. fìrma.de (IDN Homograph)
  → DMARC Enforcement: E-Mails ohne DKIM-Signatur von bekannten Domains → Block

SPF/DKIM/DMARC Enforcement:
  → SPF-Check: darf diese IP E-Mails für diese Domain senden?
  → DKIM-Check: ist die Signatur gültig?
  → DMARC: was tun bei Fail? (p=none → ignore, p=quarantine, p=reject)

DLP (Data Loss Prevention):
  → Ausgehende E-Mails auf vertrauliche Inhalte prüfen
  → Keyword: "VERTRAULICH", Regex für IBAN/Kreditkarte/PII
  → Policy: E-Mail mit Kundendaten → Verschlüsselung erzwingen

E-Mail-Verschlüsselung:
  → S/MIME: Zertifikat-basiert, kompatibel mit Outlook/Thunderbird
  → PGP: Key-Exchange-Problematik (wenig Unternehmenseinsatz)
  → TLS (STARTTLS): Transport-Verschlüsselung (keine End-to-End!)
  → SEG-Verschlüsselung: Gateway verschlüsselt an Empfänger-Gateway

Marktführer im Vergleich

Proofpoint Essentials / Enterprise:
  Stärke:     Beste Phishing-Erkennung (People-centric Security)
  Besonders:  VAP (Very Attacked People) Reporting - welche User werden angegriffen?
  Feature:    Targeted Attack Protection (TAP) - gezielte APT-Kampagnen
  Attachment: Advanced Sandbox (WildFire-ähnlich, CloudSandbox)
  Preis:      Enterprise-Preise, ab ~$4/User/Monat (Essentials)
  Geeignet:   Enterprise, Unternehmen mit hohem Phishing-Risiko

Mimecast:
  Stärke:     Archivierung + Security kombiniert (E-Mail-Archiv als Compliance-Feature)
  Besonders:  Impersonation Protection (CEO-Fraud erkennen)
  Feature:    Link Check (Real-time URL scanning beim Klick)
  DMARC:      Mimecast DMARC Analyzer (bestes DMARC-Reporting Tool)
  Preis:      Mid-Market bis Enterprise
  Geeignet:   Unternehmen mit Compliance-Anforderungen (Archivierung + Security)

Microsoft Defender for Office 365 (Plan 1 + Plan 2):
  Stärke:     Native M365-Integration (kein Gateway notwendig!)
  Besonders:  Safe Links + Safe Attachments - URL Rewriting + Sandbox
  Feature:    Attack Simulator - integrierte Phishing-Simulation!
  Preis:      Plan 1: €2.10/User/Monat; Plan 2: €4.20/User/Monat
  Vorteil:    Bereits in M365 E5 enthalten → kein Zusatzprodukt
  Geeignet:   M365-Nutzer (fast alle Unternehmen)

Cisco Secure Email (früher IronPort):
  Stärke:     Tiefste Integration in Netzwerk-Security-Infrastruktur
  Besonders:  Cisco Talos Threat Intelligence (eine der größten TI-Quellen)
  Feature:    Outbreak Filters: Cisco sieht globale Bedrohungen frühzeitig
  Preis:      Enterprise
  Geeignet:   Unternehmen mit Cisco-Infrastruktur

Barracuda Email Security Gateway:
  Stärke:     KMU-freundlich, einfaches Management
  Besonders:  Email Archiving + Security in einem
  Preis:      Einsteigerfreundlich, auch On-Premise-Option
  Geeignet:   KMU ohne eigenes Security-Team

Hornetsecurity (deutsch):
  Stärke:     Deutsches Unternehmen (BSI-konform, DSGVO)
  Besonders:  AI Recipient Validation, Advanced Threat Protection
  Feature:    Spam Filter + Malware-Sandbox in einem Portal
  Preis:      Mittelklasse, auch für KMU
  Geeignet:   Deutschsprachiger Mittelstand, DSGVO-Fokus

SEG-Konfiguration Best Practices

Anti-Phishing Konfiguration:

URL Rewriting (Safe Links):
  → Alle Links in E-Mails umschreiben: original → gateway-url/scan/original
  → Beim Klick: Gateway scannt URL in Echtzeit (auch nach Auslieferung!)
  → Problem: legitime E-Mails mit URL-Tracking gehen kaputt → Whitelist
  → Wichtig: auch URLs in Attachments (PDFs, Office-Dokumente!)

Anti-Spoofing (DMARC + DKIM + SPF):
  Inbound DMARC-Enforcement:
    → Eingehende E-Mails von firma.de: DKIM prüfen!
    → Wenn SPF fail + DKIM fail → DMARC-Policy anwenden (quarantine/reject)

  Eigene Domain Schutz (ausgehend):
    → SPF-Record: welche Server dürfen für @firma.de mailen?
    → DKIM-Signatur: SEG signiert ausgehende E-Mails
    → DMARC-Policy: p=quarantine oder p=reject

  Beispiel DMARC-Record:
    _dmarc.firma.de TXT "v=DMARC1; p=reject; rua=mailto:dmarc@firma.de; ruf=mailto:dmarc-forensic@firma.de; fo=1"
    # p=reject: E-Mails die SPF+DKIM fail → ablehnen!

Impersonation Protection (CEO-Fraud):
  → Whitelist: legitime externe Absender (CEO-Beraterin, Anwalt)
  → Display Name Spoofing: "Max Müller (CEO)" von fremder Domain → Warning Banner
  → Look-alike Domain: muster-gmbh.de vs. mustergmbh.de → Block

Quarantäne-Management:
  → Digest-E-Mails: täglich Liste der gesperrten E-Mails an Empfänger
  → Selbst-Release: User kann harmlose E-Mails aus Quarantäne holen
  → Admin-Review: alle Quarantäne-Items admin-seitig einsehbar
  → Retention: 30 Tage in Quarantäne, dann Löschung

Attachment-Sandboxing:
  Dokument-Typen die immer analysiert werden:
    .exe, .dll, .ps1, .vbs, .bat - immer Block oder Sandbox
    .docx, .xlsx, .pptx mit Makros - Sandbox
    .pdf mit JavaScript - CDR oder Sandbox
    .zip, .rar, .7z - Entpacken + alle Dateien analysieren

  CDR (Content Disarm and Reconstruction):
    → Statt Block: Dokument bereinigen und zustellen
    → PDF: JavaScript entfernen, externe Links kappen
    → Office: Makros entfernen, Active Content deaktivieren
    → Vorteil: weniger False Positives als "alles blocken"
    → Nachteil: aufwändige Technik, Performance

Outbound DLP Policy:
  # Beispiel-Regeln:
  Regex: [0-9]{4}\s?[0-9]{4}\s?[0-9]{4}\s?[0-9]{4}  → Kreditkartennummer!
  Keyword: "VERTRAULICH", "Geheimhaltungsvereinbarung"
  Attachment-Type: .mdb, .bak (Datenbankfiles) → immer prüfen
  Action: Quarantäne + Admin-Alert + User-Notification

E-Mail Gateway Logs und SIEM-Integration

Wichtige Log-Quellen für SIEM-Integration:

Proofpoint SIEM-Integration:
  → SYSLOG (CEF/LEEF Format) → Splunk/Sentinel
  → Events:
    - Message-Block: Malware, Phishing geblockt
    - Message-Quarantine: Spam/Policy in Quarantäne
    - URL-Click: Nutzer klickt auf URL (auch geblockte!)
    - Attachment-Analysis: Sandbox-Ergebnis

Microsoft Defender für Office 365 (Sentinel):
  → Data Connector "Microsoft 365 Defender"
  → EmailEvents Tabelle in Sentinel:
    EmailEvents
    | where ThreatTypes contains "Phish"
    | where ActionType == "Delivery"  # Phishing trotzdem zugestellt!
    | project Timestamp, SenderFromAddress, RecipientEmailAddress,
              Subject, UrlCount, AttachmentCount, ThreatTypes
    | order by Timestamp desc

Wichtige KPIs für E-Mail-Security:
  → Phishing-Rate: % der E-Mails die Phishing waren (Branche: ~3%)
  → Block-Rate: % der Phishing-Mails die geblockt wurden (Ziel: >99%)
  → Click-Rate: % der zugestellten Phishing-Mails die geklickt wurden
  → User Reports: wie viele Nutzer melden verdächtige E-Mails manuell?
  → False Positive Rate: % der legitimen E-Mails blockiert (Ziel: <0.1%)

Phishing-Simulation-Integration:
  → SEG-Whitelist für Phishing-Simulation-IPs (KnowBe4, Proofpoint etc.)
  → Sonst werden eigene Phishing-Test-Mails geblockt!
  → Whitelist-Methode: IP + Header (z.B. X-Phishtest: true)
  → VORSICHT: kein blanker Wildcard-Whitelist → Angreifer könnten Header fälschen

AWARE7 Leistungen zum Thema

Phishing-Simulation ISO 27001 Beratung

Ausführlicher Wiki-Artikel

E-Mail-Sicherheit: SPF, DKIM, DMARC, BIMI und MTA-STS im Detail

18 Min. Lesezeit

Endpoint Security: EDR, EPP und ganzheitlicher Geräteschutz

12 min Lesezeit

Phishing und Social Engineering: Angriffsmethoden, Psychologie und Schutzmaßnahmen

16 min Lesezeit

Verwandte Begriffe

Malware MFA (Multi-Faktor-Authentifizierung) Phishing
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung