Sophos Email Plus: valore o upsell?
Indice dei contenuti
Sophos ha annunciato Sophos Email Plus il 22 aprile 2026. La nuova licenza dovrebbe essere disponibile dal 29 aprile 2026. A prima vista sembra un normale aggiustamento del portafoglio: i vecchi nomi dei prodotti vengono semplificati, Central Email Advanced diventa Sophos Email e sopra arriva Sophos Email Plus.
Sul piano dei fatti, il prodotto non è poco interessante. L’email resta una delle principali vie d’attacco. Phishing, Business Email Compromise, phishing tramite QR code, mailbox compromesse, domini abusati e link che diventano malevoli dopo la consegna non sono temi teorici. Chi gestisce email in modo professionale oggi non ha bisogno solo di un filtro antispam, ma di una combinazione pulita di autenticazione, policy, tracciamento, formazione e risposta.
È proprio lì che Sophos Email si inserisce. La soluzione può funzionare come gateway classico, può integrarsi con Microsoft 365 tramite Mailflow e supporta Post-Delivery Protection, cioè la rimozione successiva di messaggi già consegnati. A questo si aggiungono protezione URL al momento del clic, DLP, quarantena, protezione da impersonation, protezione BEC, report TLS, DMARC Manager e integrazione con Sophos Central, XDR e MDR.
Tecnicamente, a prima vista sembra solido. Proprio per questo vale la pena guardare meglio. Prodotti del genere raramente falliscono nella slide; falliscono sulla domanda se il sovrapprezzo abbia davvero sostanza nella gestione quotidiana.
Ma Sophos Email Plus non riguarda solo la tecnologia. Riguarda anche la fiducia nella politica di prodotto e di prezzo. È lì che inizia la critica vera, ed è lì che, dal mio punto di vista, Sophos entra in una zona scomoda.
Cosa cambia concretamente
Sophos descrive ufficialmente il cambiamento come una semplificazione. I codici prodotto e le SKU dovrebbero rimanere invariati durante la rinomina; vengono adattate solo le descrizioni. “Central Email Advanced” diventa “Sophos Email”. Il precedente add-on DMARC per Email Advanced diventa un add-on DMARC per Sophos Email. Sembra innocuo, e per il puro cambio di nome probabilmente lo è.
La novità è il secondo livello:
- Sophos Email: la soluzione principale esistente con Threat Protection e Sophos Phish Threat
- Sophos Email Plus: tutto ciò che è incluso in Sophos Email, più DMARC Manager e funzioni avanzate di gestione dei messaggi
Sophos Email non è un cattivo prodotto
Prima della critica bisogna essere corretti: Sophos Email si è sviluppato in modo visibile negli ultimi anni. Sarebbe sbagliato fingere che il prodotto sia tecnicamente debole.
Le release note mostrano una serie di miglioramenti reali. Nel 2025 sono arrivati, tra le altre cose, scansione dei QR code, SophosLabs Analysis Report, funzioni BEC, miglioramenti contro l’impersonation, report TLS, EMS e DMARC Manager. Nel 2026 sono seguiti Post-Delivery Protection per Google, miglioramenti dei report TLS per Sophos Mailflow e AI Analysis per valutare header e autenticazione.
Anche l’inclusione di Sophos Phish Threat in Sophos Email dal 10 dicembre 2025 è un valore aggiunto reale. Phish Threat è una buona idea in linea di principio, ma all’interno del portafoglio Sophos riceve visibilmente poca attenzione e non sembra un prodotto sviluppato con particolare decisione. Soprattutto su awareness training, logica delle campagne, reporting ed esperienza utente, oggi ci sono alternative che appaiono più forti e moderne.
Le simulazioni di phishing e la formazione degli utenti non risolvono tutto, ma in molte aziende fanno ormai parte della dotazione di base. Se arrivano nella stessa piattaforma senza una gestione licenze separata, è utile dal punto di vista operativo.
Tre punti sono tecnicamente solidi:
- La gestione è in Sophos Central e si adatta bene ad ambienti che usano già Sophos Endpoint, Firewall, XDR o MDR.
- Gli ambienti Microsoft 365 possono essere integrati tramite Mailflow senza il classico cambio MX, se i prerequisiti sono soddisfatti.
- Post-Delivery Protection e clawback sono davvero utili nel quotidiano, perché le minacce possono cambiare dopo la consegna.
Quello che si nota anche in esercizio: l’email non è comunicazione in tempo reale. Proprio con Sophos Email non è raro che i messaggi vengano ritardati in modo percepibile durante la scansione. Cinque-quindici minuti prima che un’email venga inoltrata al mail server reale dopo il controllo possono capitare nella vita quotidiana. Tecnicamente è spiegabile, ma per gli utenti resta difficile da accettare quando un messaggio atteso sembra “bloccato”.
Il problema quindi non è: “Sophos Email non sa fare nulla.”
Il problema è che Sophos sta di nuovo impacchettando, rinominando e prezzando la linea di prodotto. E proprio questa combinazione fa sembrare l’annuncio più un upsell che una chiara manutenzione del prodotto.
La linea di prodotto è sempre più difficile da spiegare
Chi segue Sophos Email da tempo ricorderà Sophos Email Standard e Sophos Email Advanced. Tracce pubbliche esistono ancora in vecchie release note e nella documentazione del prodotto. Dal punto di vista del cliente emerge un pattern chiaro: prima c’erano Standard e Advanced. Poi Standard è sparito, e Advanced è diventato di fatto la base rilevante. Ora Advanced viene rinominato Sophos Email, e sopra nasce un altro livello più alto con Sophos Email Plus.
Naturalmente dal punto di vista del produttore questo si può spiegare. I prodotti crescono, i modelli di licenza vengono ripuliti, vecchie varianti spariscono, nascono nuovi bundle. Succede in quasi ogni portafoglio security. Ma dal punto di vista del cliente resta un’altra impressione: il livello più economico sparisce, il livello prima superiore diventa la nuova normalità, e poco dopo appare un livello ancora più alto.
È proprio qui che la frase “semplifichiamo il portafoglio” diventa difficile. Tecnicamente il nome può essere più chiaro, ma commercialmente nasce di nuovo una linea di upsell. Per me questo è il punto decisivo, perché i clienti percepiscono molto bene questi spostamenti. A questo si aggiunge l’aumento dei prezzi.
Il 25 giugno 2025 è stato comunicato il prossimo aumento per il 1° agosto 2025: Sophos Central Email Advanced sarebbe diventato più caro del 17 percento, mentre il precedente sconto Multi-Year sarebbe sparito. In parallelo, Sophos Phish Threat aumentava in modo forfettario del 33,3 percento. Chi voleva rinnovare al vecchio prezzo aveva tempo solo fino al 31 luglio 2025, e anche allora solo tramite un’ultima estensione di 12 mesi.
La scomparsa dello sconto Multi-Year è particolarmente sgradevole dal punto di vista del cliente. Prima 24 o 36 mesi offrivano almeno un chiaro vantaggio di prezzo per anno. Dopo resta in sostanza una semplice moltiplicazione della tariffa a 12 mesi su una durata più lunga. Questo forse migliora la pianificazione, ma non riduce più il costo annuale effettivo.
Per inquadrare: già il 6 dicembre 2022 Sophos Central Email Standard e Advanced erano aumentati di circa il 40 percento secondo la comunicazione di allora. Il pattern quindi non è nuovo. Da anni il focus si sposta dallo sconto alla prevedibilità, ma al cliente arriva soprattutto questo: diventa più caro, e spariscono le opzioni di ingresso più economiche o i vantaggi di durata.
Per questo la sequenza temporale risulta poco piacevole:
- Sophos Email Standard e Sophos Email Advanced hanno caratterizzato a lungo la linea di prodotto.
- Poi Standard è sparito, e Advanced è diventato di fatto la base rilevante.
- Il 1° agosto 2025 i prezzi sono aumentati di nuovo, mentre lo sconto Multi-Year è stato eliminato.
- Dal 10 dicembre 2025, Sophos Phish Threat è incluso in Sophos Email.
- Il 22 aprile 2026, Sophos ha annunciato Sophos Email Plus come nuovo livello superiore.
- Dal 29 aprile 2026 questo nuovo livello dovrebbe essere disponibile.
Sophos può sostenere che Phish Threat aggiunge valore reale alla licenza base. Non è poco. Allo stesso tempo, per i clienti esistenti non è particolarmente elegante quando aumenti di prezzo, taglio degli sconti e ristrutturazione del prodotto sono seguiti così rapidamente da un altro Plus.
Questo è ciò che resta ai clienti. Non la bella slide del portafoglio.
Qual è il vero valore di Sophos Email Plus?
Io fisserei il valore di Sophos Email Plus su tre domande molto sobrie.
Quando DMARC porta vero valore
DMARC è importante. Punto.
SPF, DKIM e DMARC non sono più rifiniture cosmetiche opzionali. Senza autenticazione pulita non soffre solo la sicurezza, ma spesso anche la deliverability. Microsoft stessa afferma che SPF, DKIM e DMARC vanno insieme e che un’autenticazione mancante o configurata male può causare problemi anche con buone policy di protezione.
Il Sophos DMARC Manager è quindi sensato in linea di principio. Offre visibilità sulle fonti di invio, aiuta con la conformità DMARC e supporta temi aggiuntivi come SPF flattening, BIMI, MTA-STS e TLS-RPT. Per molte aziende la parte difficile è proprio questa: non il record TXT DMARC in sé, ma ripulire tutti i mittenti legittimi e irrigidire gradualmente da p=none a p=quarantine fino a p=reject.
Dal punto di vista operativo questo è valore reale se DMARC non è ancora stato impostato correttamente.
Dove DMARC è già gestito con un altro strumento, documentato internamente o limitato a poche fonti legittime, questo valore si riduce rapidamente.
Quando contano le funzioni aggiuntive di gestione messaggi
Sophos parla in Email Plus di funzioni aggiuntive di gestione dei messaggi. Nel contesto incident e operativo può essere utile. Io però valuterei volutamente questo punto sotto DMARC.
Se dopo un problema di posta i messaggi devono essere riconsegnati, se bisogna capire chi è stato coinvolto in una catena di comunicazione, o se un messaggio deve essere ritirato in modo pulito, queste funzioni sono pratiche. Soprattutto team admin più grandi possono risparmiare tempo.
Ma non è una svolta universale di sicurezza. Per ambienti piccoli con poche mailbox può essere comodo, ma raramente lo vedo come motivo d’acquisto.
Quanto pesa davvero l’ecosistema Sophos
Il caso più forte per Sophos resta l’ecosistema. Negli ultimi anni è stato spesso il suo argomento più convincente.
Se Endpoint, Firewall, Email, XDR e magari MDR girano già su Sophos, allora Sophos Email Plus può avere senso nel quadro complessivo. Non perché ogni singolo modulo sia sempre il migliore sul mercato, ma perché nasce un contesto comune di gestione e risposta.
Se Sophos MDR può rimuovere messaggi, bloccare mittenti o adattare policy direttamente da una rilevazione email, è diverso da un filtro antispam isolato che genera solo ticket.
Dove Sophos viene usato solo per Email e il resto dell’ambiente usa Microsoft Defender, Sentinel, CrowdStrike, Fortinet, Palo Alto o un altro setup SOC, Sophos Email Plus deve competere molto più duramente con le alternative.
Il fattore Microsoft 365
Molti clienti vedono il tema in modo diverso: usano Microsoft 365 e restano con la protezione inclusa. Non è solo comprensibile, ma spesso anche tecnicamente del tutto difendibile. In molti ambienti considero questa scelta persino più ragionevole.
La protezione email di Microsoft oggi è molto migliore della sua vecchia reputazione. Exchange Online Protection è sempre presente per le mailbox cloud, e Microsoft Defender for Office 365 aggiunge ulteriori funzioni con Plan 1 e Plan 2. Microsoft consiglia policy predefinite Standard e Strict che raggruppano molte impostazioni in modo sensato. Safe Links, Safe Attachments, Zero-hour Auto Purge, policy anti-phishing, protezione da impersonation e funzioni di autenticazione email completano il quadro.
Già nello stato standard, la protezione spam e phishing di Microsoft 365 è spesso dannatamente buona. Vale soprattutto per mailbox business tipiche, dove non serve un esercizio speciale esotico. Microsoft gestisce uno dei più grandi ecosistemi email al mondo e vede un volume di messaggi legittimi e malevoli che provider specializzati più piccoli difficilmente possono coprire con la stessa ampiezza. Questo vantaggio di scala e telemetria è reale e, per me, uno dei punti più importanti dell’intera discussione.
Se l’ambiente è inoltre configurato correttamente, SPF, DKIM e DMARC sono a posto e le policy consigliate sono attive, diventa molto difficile giustificare altra spesa importante per una soluzione email Sophos aggiuntiva. Proprio qui, per me, la discussione si sposta chiaramente a sfavore di Sophos.
Questo non significa che un prodotto aggiuntivo sia inutile. Ma deve fornire un valore chiaro: migliore risposta operativa, migliore integrazione in un setup Sophos esistente, funzioni DMARC aggiuntive, meno sforzo amministrativo o rilevamento misurabilmente migliore nel proprio ambiente. Tutto il resto, dal mio punto di vista, è semplicemente troppo poco.
Un ulteriore layer di email security solo per abitudine è difficile da giustificare. Contro Microsoft 365 in particolare, Sophos deve offrire più della promessa di filtrare bene anche lui.
Come si posiziona Sophos rispetto ai concorrenti
Sophos non entra in un mercato debole, ma in un campo con concorrenti molto seri. Per questo non basta guardare le feature list. Contano qualità del filtraggio, usabilità, capacità di risposta, integrazioni e alla fine il prezzo per il valore reale. E proprio lì Sophos non è automaticamente davanti, dal mio punto di vista.
Microsoft Defender for Office 365 per Email
Microsoft è il concorrente più scomodo perché Microsoft è già nel tenant. L’integrazione con Exchange Online è nativa, la protezione di base è alta e per molte aziende la piattaforma è già pagata.
La vera debolezza sta meno nella qualità del filtro e più nella complessità. Defender Portal, Exchange Admin Center, Purview, confini di licenza, Plan 1, Plan 2, E3, E5, Business Premium e add-on rendono il tema rapidamente poco chiaro. Microsoft può fare molto, ma non sempre in modo elegante.
Tuttavia Microsoft resta il riferimento più duro per molte aziende. Se Sophos Email o Sophos Email Plus vogliono competere, Sophos deve mostrare molto concretamente cosa migliora davvero: meno effort operativo, migliore risposta, migliore trasparenza o risultati misurabilmente migliori nel tenant. Solo con l’argomento “layer di protezione aggiuntivo” non lo approverei.
Cloudflare Email Security
Cloudflare è un concorrente serio, proprio perché l’azienda non pensa all’email security in modo isolato. La soluzione proveniente dal mondo Area 1 si inserisce bene in un modello più ampio di Zero Trust e sicurezza di rete. Chi punta già molto su Cloudflare ottiene un ulteriore interesse strategico.
Il punto debole è che Cloudflare non è automaticamente la scelta ovvia per ogni ambiente Microsoft 365 classico. Senza un focus Cloudflare già esistente, sembra rapidamente un’altra piattaforma che deve prima essere ancorata organizzativamente e tecnicamente.
Nel confronto diretto con Sophos, Cloudflare appare spesso più moderna nel pensiero architetturale, ma non necessariamente più semplice o più ovvia per le PMI tipiche.
Mimecast
Mimecast resta uno degli specialisti più seri del mercato. L’azienda è forte quando l’email security non viene trattata solo come filtro antispam, ma come combinazione di protezione, continuity, archiviazione, DMARC, awareness e processi operativi. Tecnicamente, Mimecast resta per me una referenza in questo segmento.
In ambienti più grandi o maturi, Mimecast è spesso il benchmark per email security specializzata. Lo svantaggio è lo stesso di molte grandi piattaforme specialistiche: può diventare complesso e costoso.
Per aziende piccole può essere rapidamente troppo prodotto. Per ambienti più grandi, Mimecast resta però un vero benchmark.
Proofpoint
Proofpoint resta uno dei grandi nomi del mercato. L’azienda è particolarmente forte quando si tratta di proteggere persone, dati e workflow Microsoft 365 come pacchetto. La sua posizione di mercato non è nata per caso.
È più di un puro filtro antispam e spesso è piuttosto una decisione di piattaforma. Per aziende che cercano esattamente questa ampiezza è interessante. Per aziende più piccole può però sembrare rapidamente overkill.
Cisco Secure Email Threat Defense
Cisco è storicamente forte nel mercato email security, soprattutto grazie a IronPort e Talos. Tecnicamente non è un prodotto leggero, ma un provider enterprise maturo.
In ambienti fortemente Cisco può avere assolutamente senso. Lo svantaggio resta il tipico mondo Cisco: potente, ma non sempre la soluzione più semplice o economica per team piccoli.
Trend Micro
Trend Micro non è certo un piccolo vendor. L’azienda è forte quando l’email security viene vista come parte di un approccio più ampio di detection-and-response o piattaforma.
Trend Micro diventa particolarmente interessante in ambienti già fortemente investiti in Trend Vision One o altri prodotti Trend. Allora nasce un argomento simile a quello di Sophos: visibilità centrale, telemetria condivisa, meno isole.
Fuori da quell’ecosistema bisogna guardare con attenzione confini di licenza e combinazioni di prodotto. Come con tutti i vendor, il confronto reale spesso non sta nella feature list, ma nella domanda su quale funzione sia davvero inclusa in quale licenza.
La mia raccomandazione
Sophos Email Plus non è un prodotto da comprare per riflesso.
Ma scartarlo automaticamente sarebbe altrettanto superficiale. In questo ambito i giudizi generici mi sembrano quasi sempre poco seri.
Per i clienti Sophos esistenti, la raccomandazione è abbastanza chiara: la differenza concreta di prezzo tra Sophos Email e Sophos Email Plus deve essere sul tavolo, riferita al numero reale di utenti e alla durata. Solo allora si può valutare con pulizia quali funzioni siano davvero rilevanti nel quotidiano. Non prenderei questa decisione in base a termini marketing, ma solo in base a valore, effort e prezzo.
Sophos Email Plus conviene soprattutto quando valgono almeno due di questi punti:
- DMARC deve essere gestito professionalmente e non esiste già un altro tool DMARC ben implementato.
- Le funzioni aggiuntive di gestione messaggi sono davvero necessarie in esercizio.
- Sophos MDR, XDR o Sophos Central vengono usati così coerentemente che gli eventi email fanno parte della catena di risposta.
- Esistono casi concreti e misurabili in cui Microsoft 365 da solo lascia passare troppo o non è abbastanza buono nella risposta operativa.
Se Microsoft 365 è configurato correttamente, DMARC è già risolto, non esiste un contesto Sophos MDR/XDR e serve soprattutto una forte protezione spam e phishing, Sophos Email Plus è difficile da giustificare. In quello scenario pretenderei requisiti molto alti per il valore aggiuntivo dimostrabile.
Importante anche questo: una roadmap non è un motivo d’acquisto, e una frase su un datasheet non sostituisce valore attuale. Che Sophos Email continui a svilupparsi è ovvio. Se un prodotto security si ferma, viene superato. Ma proprio con Sophos ho visto spesso che miglioramenti annunciati o suggeriti richiedono molto tempo prima di diventare rilevanti nella vita quotidiana. Per questo il riferimento a funzioni future mi sembra più una frase obbligata per giustificare il prezzo più alto. Andrebbe pagato il valore che arriva oggi nel tenant.
Conclusione
Sophos Email Plus non è tecnicamente una cattiva idea. DMARC Manager appartiene comunque alla lista delle attività in molti ambienti, e migliori funzioni di gestione messaggi possono avere vero valore operativo.
La parte scomoda è il confezionamento.
Dopo Standard e Advanced, la fine di Standard e l’elevazione di fatto di Advanced a base, ora arriva un altro livello premium. Si può vendere come evoluzione del portafoglio. Ma si può anche capire se i clienti iniziano a stancarsi.
Sophos Email Plus quindi non è un acquisto automatico “must-have”, ma un prodotto che deve prima dimostrarsi nel tenant reale. Il mio punto è molto semplice:
Quante minacce aggiuntive trova? Quanto tempo operativo fa risparmiare? Quanto funziona bene la risposta? Quanti falsi positivi genera? E questo giustifica il nuovo livello di prezzo?
Se queste domande ricevono risposte pulite, Sophos Email Plus può avere senso.
Se no, è soprattutto una cosa: il prossimo livello in una linea di prodotto che Sophos sta di nuovo “semplificando”.
Alla prossima,
Joe
