Sophos Email Plus: ценность или upsell?
Содержание
Sophos анонсировала Sophos Email Plus 22 апреля 2026 года. Новая лицензия должна стать доступной с 29 апреля 2026 года. На первый взгляд это выглядит как обычная корректировка портфеля: прежние названия продуктов упрощаются, Central Email Advanced становится Sophos Email, а над ним появляется Sophos Email Plus.
Если смотреть по существу, продукт не выглядит неинтересным. Электронная почта остается одним из важнейших каналов атак. Phishing, Business Email Compromise, QR-code phishing, скомпрометированные почтовые ящики, злоупотребление доменами и ссылки, которые становятся вредоносными уже после доставки, не являются теорией. Профессиональная эксплуатация email сегодня требует не только спам-фильтра, но и аккуратной комбинации аутентификации, политик, отслеживания, обучения и реакции.
Именно здесь в принципе работает Sophos Email. Решение может использоваться как классический gateway, интегрироваться с Microsoft 365 через Mailflow и поддерживает Post-Delivery Protection, то есть последующее удаление уже доставленных сообщений. Также есть Time-of-Click URL protection, DLP, карантин, impersonation protection, BEC protection, TLS-отчеты, DMARC Manager и интеграция с Sophos Central, XDR и MDR.
Технически это сначала выглядит солидно. Именно поэтому стоит посмотреть внимательнее. Такие продукты редко проваливаются на слайдах; они проваливаются на вопросе, имеет ли доплата реальную ценность в живой эксплуатации.
Но Sophos Email Plus — это не только технология. Это еще и доверие к продуктовой и ценовой политике. Именно там начинается настоящая критика, и именно там Sophos, на мой взгляд, становится неудобно.
Что конкретно меняется
Sophos официально описывает изменение как упрощение. Product codes и SKU при переименовании должны остаться без изменений; меняются только описания. “Central Email Advanced” становится “Sophos Email”. Прежний DMARC add-on для Email Advanced становится DMARC add-on для Sophos Email. Это звучит безобидно, и для чистого переименования, вероятно, так и есть.
Новым является второй уровень:
- Sophos Email: существующее основное решение с Threat Protection и Sophos Phish Threat
- Sophos Email Plus: все из Sophos Email, плюс DMARC Manager и расширенные функции обработки сообщений
Sophos Email не плохой продукт
Прежде чем критиковать, нужно быть честным: Sophos Email заметно развивался последние годы. Было бы неправильно делать вид, будто продукт технически слабый.
Release notes показывают целый ряд реальных улучшений. В 2025 году появились QR-code scanning, SophosLabs Analysis Report, BEC-функции, улучшения impersonation, TLS reporting, EMS и DMARC Manager. В 2026 году последовали Post-Delivery Protection для Google, улучшения TLS reporting для Sophos Mailflow и AI Analysis для оценки заголовков и аутентификации.
Включение Sophos Phish Threat в Sophos Email с 10 декабря 2025 года тоже дает реальную ценность. Phish Threat в принципе хорошая идея, но внутри портфеля Sophos он получает заметно мало внимания и не выглядит продуктом, который особенно последовательно развивается. В области awareness training, логики кампаний, отчетности и пользовательского опыта уже есть несколько альтернатив, которые выглядят сильнее и современнее.
Симуляции phishing и обучение пользователей не решают все, но во многих компаниях уже являются базовой частью защиты. Если это попадает в ту же платформу без отдельного управления лицензиями, это полезно операционно.
Технически хороши прежде всего три пункта:
- Управление находится в Sophos Central и хорошо подходит средам, где уже используются Sophos Endpoint, Firewall, XDR или MDR.
- Среды Microsoft 365 можно подключать через Mailflow без классического переключения MX, если выполнены требования.
- Post-Delivery Protection и clawback действительно полезны в повседневной работе, потому что угрозы могут измениться уже после доставки.
Но в эксплуатации заметно и другое: email — это не коммуникация реального времени. Именно с Sophos Email не редкость, когда сообщения заметно задерживаются во время scanning. Пять-пятнадцать минут до передачи письма реальному mail server после проверки могут встречаться в повседневной работе. Технически это объяснимо, но пользователям все равно трудно объяснить, почему ожидаемое письмо как будто “застряло”.
Проблема, значит, не в том, что “Sophos Email ничего не умеет”.
Проблема в том, что Sophos снова упаковывает, переименовывает и переоценивает продуктовую линейку. Именно эта смесь делает анонс похожим скорее на upsell, чем на понятное развитие продукта.
Продуктовую линейку все труднее объяснять
Те, кто давно следит за Sophos Email, помнят Sophos Email Standard и Sophos Email Advanced. Их публичные следы все еще есть в старых release notes и документации продукта. С точки зрения клиента виден четкий паттерн: сначала были Standard и Advanced. Потом Standard исчез, и Advanced фактически стал основной релевантной базой. Теперь Advanced переименовывается в Sophos Email, а над ним появляется новый более высокий уровень — Sophos Email Plus.
Конечно, с точки зрения производителя это можно объяснить. Продукты растут, модели лицензирования очищаются, старые варианты исчезают, появляются новые bundles. Это происходит почти в каждом security-портфеле. Но с точки зрения клиента остается другое: более дешевый уровень исчезает, прежний более высокий уровень становится новой нормой, а вскоре появляется еще один уровень выше.
Именно здесь фраза “мы упрощаем портфель” становится трудной. Технически название может стать понятнее, но коммерчески снова создается новая линия upsell. Для меня это ключевой момент, потому что клиенты очень хорошо чувствуют такие сдвиги. А затем приходит повышение цен.
25 июня 2025 года была сообщена следующая ценовая волна на 1 августа 2025 года: Sophos Central Email Advanced должен был подорожать на 17 процентов, а прежняя скидка Multi-Year исчезала. Параллельно Sophos Phish Threat поднимался сразу на 33,3 процента. Те, кто хотел продлить по старой цене, имели время только до 31 июля 2025 года, и только на последнее продление на 12 месяцев.
Отмена Multi-Year discount особенно неприятна с точки зрения клиента. Раньше 24 или 36 месяцев хотя бы давали понятное преимущество по цене за год. После этого фактически остается простое умножение 12-месячной ставки на более долгий срок. Это может улучшить планирование, но больше не снижает эффективные годовые расходы.
Для контекста: уже 6 декабря 2022 года Sophos Central Email Standard и Advanced стали примерно на 40 процентов дороже согласно тогдашней коммуникации. Паттерн не новый. Уже несколько лет фокус смещается от скидки к предсказуемости, но до клиента доходит прежде всего одно: становится дороже, а более дешевые точки входа или преимущества сроков исчезают.
Именно поэтому временная последовательность выглядит неприятно:
- Sophos Email Standard и Sophos Email Advanced долго формировали линейку.
- Затем Standard исчез, и Advanced фактически стал релевантной базой.
- 1 августа 2025 года цены снова выросли, а Multi-Year discount исчез.
- С 10 декабря 2025 года Sophos Phish Threat входит в Sophos Email.
- 22 апреля 2026 года Sophos анонсировала Sophos Email Plus как следующий уровень сверху.
- С 29 апреля 2026 года этот новый уровень должен быть доступен.
Можно признать, что Phish Threat действительно добавляет ценность базовой лицензии. Это не пустяк. Но для существующих клиентов выглядит не слишком элегантно, когда повышение цен, отмена скидок и перестройка продукта так быстро сопровождаются еще одним Plus.
Именно это остается у клиентов в памяти. Не красивая слайд-страница портфеля.
В чем реальная ценность Sophos Email Plus?
Я бы привязал ценность Sophos Email Plus к трем очень трезвым вопросам.
Когда DMARC дает реальную ценность
DMARC важен. Точка.
SPF, DKIM и DMARC уже не являются необязательной косметикой. Без чистой аутентификации страдает не только безопасность, но часто и доставляемость. Microsoft сама говорит, что SPF, DKIM и DMARC должны работать вместе, а отсутствующая или неправильно настроенная аутентификация может вызывать проблемы даже при хороших защитных политиках.
Sophos DMARC Manager поэтому в принципе полезен. Он дает видимость отправляющих источников, помогает с DMARC compliance и поддерживает дополнительные темы вроде SPF flattening, BIMI, MTA-STS и TLS-RPT. Для многих компаний сложность именно здесь: не в самом DMARC TXT record, а в очистке всех легитимных отправителей и постепенном ужесточении от p=none к p=quarantine и затем p=reject.
С операционной точки зрения это реальная ценность, если DMARC еще не настроен аккуратно.
Там, где DMARC уже ведется через другой инструмент, документирован внутри или есть только несколько легитимных источников отправки, эта ценность быстро уменьшается.
Когда важны дополнительные функции обработки сообщений
Sophos говорит о дополнительных функциях обработки сообщений в Email Plus. В контексте incident и operations это может быть полезно. Но я сознательно оцениваю этот пункт ниже, чем DMARC.
Если после проблемы с почтой сообщения нужно доставить повторно, если нужно понять, кто был затронут в цепочке коммуникации, или если сообщение нужно аккуратно отозвать, такие функции практичны. Более крупные админские команды могут сэкономить время.
Но это не универсальный прорыв в безопасности. Для небольших сред с малым числом mailbox это может быть приятно, но, на мой взгляд, редко является причиной покупки.
Насколько важна экосистема Sophos
Самый сильный аргумент Sophos остается экосистема. В последние годы это часто было самым убедительным аргументом Sophos.
Если Endpoint, Firewall, Email, XDR и, возможно, MDR уже работают через Sophos, Sophos Email Plus может иметь смысл в общей картине. Не потому, что каждый отдельный модуль всегда лучший на рынке, а потому что появляется общий контекст эксплуатации и response.
Если Sophos MDR может прямо из email detection удалить сообщения, заблокировать отправителей или подтянуть политики, это другое, чем изолированный спам-фильтр, который только создает tickets.
Там, где Sophos используется только для Email, а в остальном уже есть Microsoft Defender, Sentinel, CrowdStrike, Fortinet, Palo Alto или другой SOC setup, Sophos Email Plus должен намного жестче конкурировать с альтернативами.
Фактор Microsoft 365
Многие клиенты смотрят на это иначе: они используют Microsoft 365 и остаются с встроенной защитой. Это не только понятно, но часто и технически совершенно оправданно. Во многих средах я даже считаю это более разумным решением.
Защита электронной почты Microsoft сегодня значительно лучше своей старой репутации. Exchange Online Protection всегда есть для cloud mailbox, а Microsoft Defender for Office 365 добавляет дополнительные функции через Plan 1 и Plan 2. Microsoft рекомендует Standard и Strict preset security policies, которые разумно группируют множество настроек. Safe Links, Safe Attachments, Zero-hour Auto Purge, anti-phishing policies, impersonation protection и функции email authentication дополняют картину.
Даже в стандартном состоянии защита от spam и phishing в Microsoft 365 часто чертовски хороша. Это особенно верно для типичных бизнес-почтовых ящиков без экзотических особых требований. Microsoft управляет одной из крупнейших email-экосистем в мире и видит объем легитимных и вредоносных сообщений, который более маленькие специализированные провайдеры в такой широте едва ли могут повторить. Это преимущество масштаба и телеметрии реально и, на мой взгляд, является одним из важнейших пунктов всей дискуссии.
Если среда к тому же аккуратно настроена, SPF, DKIM и DMARC корректны, а рекомендованные политики защиты включены, становится очень трудно обосновать еще большие расходы на дополнительное email-решение Sophos. Именно здесь дискуссия для меня явно поворачивается против Sophos.
Это не означает, что дополнительный продукт бессмысленен. Но он должен дать понятную ценность: лучшую операционную реакцию, лучшую интеграцию в уже существующий Sophos setup, дополнительные DMARC-функции, меньше административных усилий или измеримо лучшее обнаружение в собственной среде. Все остальное, на мой взгляд, слишком мало.
Дополнительный слой email security просто по привычке трудно оправдать. Особенно против Microsoft 365 Sophos должен предложить больше, чем обещание тоже хорошо фильтровать.
Как Sophos выглядит на фоне конкурентов
Sophos входит не в слабый рынок, а в поле с очень серьезными конкурентами. Поэтому списков функций недостаточно. Важны качество фильтрации, удобство, способность к response, интеграции и в конце цена за реальную ценность. И именно здесь Sophos, на мой взгляд, не автоматически впереди.
Microsoft Defender for Office 365 для email
Microsoft — самый неудобный конкурент, потому что Microsoft уже находится в tenant. Интеграция с Exchange Online native, базовая защита высока, а для многих компаний платформа уже оплачена.
Настоящая слабость не столько в качестве фильтрации, сколько в сложности. Defender Portal, Exchange Admin Center, Purview, границы лицензий, Plan 1, Plan 2, E3, E5, Business Premium и add-ons быстро делают тему запутанной. Microsoft умеет многое, но не всегда элегантно.
Тем не менее Microsoft остается самым жестким ориентиром для многих компаний. Если Sophos Email или Sophos Email Plus конкурирует с ним, Sophos должен очень конкретно показать, что действительно становится лучше: меньше операционных усилий, лучшая реакция, лучшая прозрачность или измеримо лучшие результаты в собственном tenant. Одного аргумента “дополнительный защитный слой” я бы не принял.
Cloudflare Email Security
Cloudflare — серьезный конкурент, особенно потому что компания не думает об email security изолированно. Решение из мира Area 1 хорошо вписывается в более широкую модель Zero Trust и network security. Те, кто и так сильно использует Cloudflare, получают дополнительный стратегический аргумент.
Проблема в том, что Cloudflare не является автоматически очевидным выбором для каждой классической среды Microsoft 365. Без уже существующего Cloudflare-фокуса это быстро выглядит как еще одна платформа, которую сначала нужно закрепить организационно и технически.
В прямом сравнении с Sophos Cloudflare часто выглядит современнее архитектурно, но не обязательно проще или очевиднее для типичных SMB.
Mimecast
Mimecast остается одним из самых серьезных специалистов на рынке. Компания сильна там, где email security рассматривается не только как спам-фильтр, а как комбинация защиты, continuity, архивации, DMARC, awareness и операционных процессов. Технически Mimecast для меня по-прежнему является ориентиром в этом сегменте.
В больших или более зрелых средах Mimecast часто является benchmark для специализированной email security. Минус тот же, что у многих больших специализированных платформ: это может стать сложно и дорого.
Для маленьких компаний это быстро слишком много продукта. Для крупных сред Mimecast остается реальным benchmark.
Proofpoint
Proofpoint остается одним из больших имен рынка. Компания особенно сильна, когда нужно защищать людей, данные и Microsoft 365 workflows как пакет. Ее рыночная позиция возникла не случайно.
Это больше, чем чистый спам-фильтр, и часто скорее платформенное решение. Для компаний, которые ищут именно такую широту, это привлекательно. Для маленьких компаний это также быстро может выглядеть чрезмерно.
Cisco Secure Email Threat Defense
Cisco исторически сильна на рынке email security, прежде всего через IronPort и Talos. Технически это не легковесный продукт, а зрелый enterprise-провайдер.
В средах, где много Cisco, это может быть совершенно логично. Минус остается типичный Cisco-мир: мощно, но не всегда самое простое или дешевое решение для небольших команд.
Trend Micro
Trend Micro тоже не маленький вендор. Компания сильна, когда email security рассматривается как часть более широкого detection-and-response или платформенного подхода.
Trend Micro особенно интересна в средах, которые уже серьезно вложились в Trend Vision One или другие продукты Trend. Тогда появляется аргумент, похожий на Sophos: централизованная видимость, общая телеметрия, меньше островов.
Вне этой экосистемы нужно внимательно смотреть на границы лицензий и сочетания продуктов. Как и у всех вендоров, реальное сравнение часто не в списке функций, а в вопросе, какая функция действительно входит в какую лицензию.
Моя рекомендация
Sophos Email Plus — не продукт для покупки на автомате.
Но автоматически отвергать его тоже было бы слишком просто. В этой области общие суждения почти всегда кажутся мне несерьезными.
Для существующих клиентов Sophos рекомендация довольно ясна: конкретная разница в цене между Sophos Email и Sophos Email Plus должна лежать на столе, с учетом реального числа пользователей и срока. Только после этого можно честно оценить, какие функции действительно важны в повседневной работе. Я бы не принимал это решение по маркетинговым терминам, а только по ценности, усилиям и цене.
Sophos Email Plus имеет смысл прежде всего тогда, когда выполняются минимум два пункта:
- DMARC должен вестись профессионально, и другого DMARC-инструмента уже аккуратно не внедрено.
- Дополнительные функции обработки сообщений действительно нужны в эксплуатации.
- Sophos MDR, XDR или Sophos Central используются настолько последовательно, что email events являются частью response chain.
- Есть конкретные, измеримые случаи, где Microsoft 365 сам по себе пропускает слишком много или операционно недостаточно хорош в response.
Если Microsoft 365 настроен аккуратно, DMARC уже решен, контекста Sophos MDR/XDR нет, а главная потребность — сильная защита от spam и phishing, Sophos Email Plus трудно оправдать. В этом сценарии я бы требовал очень высокой доказуемой дополнительной ценности.
Также важно: roadmap не является причиной покупки, а фраза в datasheet не заменяет сегодняшнюю ценность. То, что Sophos Email будет развиваться дальше, очевидно. Если security-продукт стоит на месте, его обгоняют. Но именно у Sophos я часто видел, что обещанные или намеченные улучшения очень долго идут до того, как становятся действительно релевантными в повседневной эксплуатации. Поэтому ссылка на будущие функции для меня звучит скорее как обязательная фраза для оправдания более высокой цены. Платить нужно за ценность, которая приходит в tenant сегодня.
Итог
Sophos Email Plus технически не плохая идея. DMARC Manager во многих средах все равно должен быть в списке задач, а лучшие функции обработки сообщений могут иметь реальную операционную ценность.
Неприятная часть — упаковка.
После Standard и Advanced, исчезновения Standard и фактического превращения Advanced в базу появляется еще один premium-уровень. Это можно продавать как развитие портфеля. Но можно понять и клиентов, которые устают.
Поэтому Sophos Email Plus не является автоматической покупкой “must-have”, а продуктом, который сначала должен доказать себя в реальном tenant. Моя мысль простая:
Сколько дополнительных угроз он находит? Сколько операционного времени экономит? Насколько хорошо работает response? Сколько false positives он создает? И оправдывает ли это новый ценовой уровень?
Если на эти вопросы есть чистые ответы, Sophos Email Plus может иметь смысл.
Если нет, это прежде всего следующее: очередной уровень в продуктовой линейке, которую Sophos снова “упрощает”.
До следующего раза,
Joe
