Sophos Email Plus:价值还是Upsell?
目录
Sophos 在 2026 年 4 月 22 日发布了 Sophos Email Plus。新许可证计划从 2026 年 4 月 29 日开始提供。乍一看,这像是一次普通的产品组合调整:旧产品名称被简化,Central Email Advanced 变成 Sophos Email,而 Sophos Email Plus 则作为更高一级出现在其上方。
客观来看,这个产品并非没有吸引力。Email 仍然是最重要的攻击路径之一。Phishing、Business Email Compromise、QR-code phishing、被攻陷的 mailbox、被滥用的 domain,以及 delivery 后才变成恶意的 link,都不是理论问题。今天专业运营 email,不只需要 spam filter,还需要 authentication、policy、tracking、training 和 response 的干净组合。
Sophos Email 基本上就是切入这一点。它可以作为 classic gateway 运行,可以通过 Mailflow 与 Microsoft 365 集成,并支持 Post-Delivery Protection,也就是在消息已送达后再将其移除。此外还有 Time-of-Click URL protection、DLP、quarantine、impersonation protection、BEC protection、TLS reporting、DMARC Manager,以及与 Sophos Central、XDR、MDR 的集成。
从技术上看,这一开始显得很扎实。正因为如此,才值得再看一层。这类产品很少输在演示幻灯片上;真正的问题是,额外价格在真实运营中是否有实质价值。
但 Sophos Email Plus 不只是技术问题。它也关系到对产品和定价策略的信任。真正的批评从这里开始,而在我看来,这正是 Sophos 变得尴尬的地方。
具体变化是什么
Sophos 官方将这次变化描述为简化。重命名期间 product codes 和 SKUs 应该保持不变,只调整描述。“Central Email Advanced” 变成 “Sophos Email”。以前用于 Email Advanced 的 DMARC add-on 变成用于 Sophos Email 的 DMARC add-on。这听起来无害,如果只是改名,可能确实如此。
真正新增的是第二个层级:
- Sophos Email:现有核心方案,包括 Threat Protection 和 Sophos Phish Threat
- Sophos Email Plus:包含 Sophos Email 的全部内容,另加 DMARC Manager 和增强的 message-handling functions
Sophos Email 不是坏产品
在批评之前,必须公平一点:Sophos Email 过去几年确实有明显发展。把它说成技术上很弱,是不准确的。
Release notes 展示了许多真实改进。2025 年加入了 QR-code scanning、SophosLabs Analysis Report、BEC features、impersonation improvements、TLS reporting、EMS 和 DMARC Manager。2026 年又有 Google 的 Post-Delivery Protection、Sophos Mailflow 的 TLS reporting improvements,以及用于 header 和 authentication 评估的 AI Analysis。
从 2025 年 12 月 10 日起,Sophos Phish Threat 被纳入 Sophos Email,这也确实带来价值。Phish Threat 原则上是个好想法,但在 Sophos portfolio 内部明显得到的关注较少,也不像一个被非常持续推进的产品。尤其在 awareness training、campaign logic、reporting 和 user experience 方面,现在已经有一些替代方案显得更强、更现代。
Phishing simulation 和 awareness training 不能解决一切,但在许多公司已经属于基本配置。如果它们能进入同一 platform,而不需要单独 license management,运营上是有用的。
技术上干净的主要有三点:
- 管理位于 Sophos Central,适合已经使用 Sophos Endpoint、Firewall、XDR 或 MDR 的环境。
- 如果前提条件合适,Microsoft 365 setup 可以通过 Mailflow 集成,而不需要 classic MX change。
- Post-Delivery Protection 和 clawback 在日常运营中确实有价值,因为威胁在 delivery 后仍可能发生变化。
运营中也会明显感受到一点:email 不是实时通信。特别是 Sophos Email,在 scanning process 中消息出现明显延迟并不罕见。检查后 email 再被转发到真正的 mail server,日常中可能需要五到十五分钟。这在技术上可以解释,但当用户等待的消息看起来像是“卡住”时,仍然很难沟通。
所以问题不是:“Sophos Email 什么都做不了。”
问题是 Sophos 又在重新包装、重新命名并重新定价这条产品线。正是这种组合,让这次发布看起来更像 upsell,而不是清晰的产品维护。
产品线越来越难解释
长期关注 Sophos Email 的人会记得 Sophos Email Standard 和 Sophos Email Advanced。在较旧的 release notes 和 product documentation 中,仍然能找到它们的公开痕迹。从客户角度看,一个清晰模式出现了:最初有 Standard 和 Advanced。后来 Standard 消失,Advanced 实际上成为相关的基础版本。现在 Advanced 被改名为 Sophos Email,而其上方又出现了 Sophos Email Plus 这个新的更高层级。
当然,从厂商角度可以解释。产品会成长,license model 会清理,旧版本会消失,新 bundle 会出现。这几乎发生在每一个 security portfolio 中。但从客户角度留下的是另一种印象:更便宜的层级消失,原本更高的层级变成新的默认,然后不久后又出现更高的层级。
正是在这里,“我们正在简化 portfolio” 这句话变得困难。技术上名称可能更清楚,但商业上又产生了一条新的 upsell line。对我来说这是关键点,因为客户非常清楚地感受到这种移动。接着还有涨价。
2025 年 6 月 25 日,Sophos 针对 2025 年 8 月 1 日沟通了下一轮价格调整:Sophos Central Email Advanced 将涨价 17%,同时之前的 Multi-Year discount 被取消。与此同时,Sophos Phish Threat 固定上涨 33.3%。想按旧价格续订的人只有到 2025 年 7 月 31 日为止,而且也只能进行最后一次 12-month renewal。
Multi-Year discount 的取消从客户角度尤其不舒服。以前 24 或 36 个月至少带来明确的年化价格优势。之后基本上只剩把 12 个月价格简单乘以更长周期。这也许提高了可规划性,但不再降低实际年成本。
作为背景:2022 年 12 月 6 日,Sophos Central Email Standard 和 Advanced 根据当时沟通已经涨价约 40%。这个模式并不新。多年来,重点从折扣转向可预测性,但客户真正感受到的是:价格变高,便宜入口和期限优势消失。
因此这个时间线让人不舒服:
- Sophos Email Standard 和 Sophos Email Advanced 长期塑造了产品线。
- 然后 Standard 消失,Advanced 实际上成为相关基础版本。
- 2025 年 8 月 1 日价格再次上涨,同时 Multi-Year discount 消失。
- 从 2025 年 12 月 10 日起,Sophos Phish Threat 成为 Sophos Email 的一部分。
- 2026 年 4 月 22 日,Sophos 发布 Sophos Email Plus 作为其上的下一层。
- 从 2026 年 4 月 29 日起,这个新层级计划可用。
公平地说,Sophos 可以指出 Phish Threat 确实给基础许可证增加了价值。这不是没有意义。但对现有客户来说,在涨价、取消折扣、产品重组之后这么快又出现一个 Plus,并不好看。
客户记住的是这些。不是漂亮的 portfolio slide。
Sophos Email Plus 的真实价值是什么
我会用三个非常冷静的问题来衡量 Sophos Email Plus 的价值。
DMARC 什么时候真正有价值
DMARC 很重要。就这样。
SPF、DKIM 和 DMARC 已经不是可选的表面优化。没有干净的 authentication,不仅 security 受影响,deliverability 也常常受影响。Microsoft 自己也说 SPF、DKIM 和 DMARC 应该一起看,缺失或错误配置的 authentication 即使在良好 protection policies 下也可能造成问题。
Sophos DMARC Manager 因此原则上有意义。它提供 sending sources 的可见性,帮助 DMARC compliance,并支持 SPF flattening、BIMI、MTA-STS 和 TLS-RPT 等额外主题。对许多公司来说,难点不是 DMARC TXT record 本身,而是清理所有合法 sender,并从 p=none 到 p=quarantine 再到 p=reject 逐步加固。
从运营角度看,如果 DMARC 尚未干净地建立,这确实有价值。
如果 DMARC 已经通过其他 tool 管理,内部文档也清楚,或者合法发送源很少,那么这个价值会迅速缩小。
额外 message handling 什么时候有意义
Sophos 在 Email Plus 中提到额外的 message-handling functions。在 incident 和 operations 场景中,这可能有用。但我会有意把这一点看得比 DMARC 小。
如果邮件问题后需要重新投递 message,如果团队需要理解某个通信链中谁受到影响,或者需要干净地撤回一封 message,这些功能是实用的。尤其是较大的 admin team 可以节省时间。
但这不是普遍性的 security breakthrough。对于 mailbox 很少的小环境,它也许不错,但在我看来很少构成购买理由。
Sophos ecosystem 到底有多重要
Sophos 最强的 case 仍然是 ecosystem。过去几年,这经常是 Sophos 最有说服力的论点。
如果 Endpoint、Firewall、Email、XDR,甚至 MDR 都已经运行在 Sophos 上,那么 Sophos Email Plus 在整体图景中可能有意义。不是因为每个模块总是市场上最好,而是因为会形成共同的 operations and response context。
如果 Sophos MDR 可以从 email detection 直接删除 message、block sender 或调整 policy,这就不同于只生成 ticket 的孤立 spam filter。
如果 Sophos 只用于 Email,而其他环境使用 Microsoft Defender、Sentinel、CrowdStrike、Fortinet、Palo Alto 或其他 SOC setup,那么 Sophos Email Plus 必须更艰难地与替代方案竞争。
Microsoft 365 因素
许多客户对这个话题有不同看法:他们使用 Microsoft 365,并保留其内置保护。这不仅可以理解,而且在技术上常常完全站得住脚。在许多环境中,我甚至认为这是更合理的决定。
Microsoft 的 email protection 今天已经远好于过去的声誉。Exchange Online Protection 对 cloud mailboxes 始终存在,Microsoft Defender for Office 365 通过 Plan 1 和 Plan 2 增加更多保护功能。Microsoft 推荐 Standard 和 Strict preset security policies,把许多设置合理打包。Safe Links、Safe Attachments、Zero-hour Auto Purge、anti-phishing policies、impersonation protection 和 email authentication features 都在其中。
即使在默认状态下,Microsoft 365 的 spam 和 phishing protection 也常常非常好。特别是对典型 business mailbox,不需要奇怪的特殊运行方式。Microsoft 运营着世界上最大的 mail ecosystem 之一,看到的合法和恶意 message 规模,是较小 specialized provider 难以在同等宽度上覆盖的。这个规模和 telemetry 优势是真实存在的,也是我认为整个讨论中最重要的点之一。
如果环境还配置得很干净,SPF、DKIM 和 DMARC 正确,并启用了推荐的 protection policies,那么再为额外的 Sophos email solution 花很多钱就很难解释。正是在这一点上,我认为讨论明显转向不利于 Sophos。
这并不意味着额外产品毫无意义。但它必须提供清楚价值:更好的 operational response,与现有 Sophos setup 更好的 integration,额外 DMARC functions,更少 administrative effort,或者在自身环境中可测量的更好 detection。除此之外,在我看来都太少。
仅仅出于习惯增加一层 email-security layer 很难证明合理。尤其面对 Microsoft 365,Sophos 必须提供超过“我们也能很好过滤”的东西。
Sophos 与竞争者相比如何
Sophos 进入的不是弱市场,而是有非常认真竞争者的领域。因此只看 feature list 不够。真正重要的是 filtering quality、usability、response capability、integrations,以及最终每份真实价值的价格。在这一点上,我认为 Sophos 并不会自动领先。
Microsoft Defender for Office 365 for Email
Microsoft 是最难受的竞争者,因为 Microsoft 已经在 tenant 中。与 Exchange Online 的 integration 是 native,baseline protection 很高,而且许多公司已经为平台付费。
真正的弱点不太在 filter quality,而在 complexity。Defender Portal、Exchange Admin Center、Purview、licensing boundaries、Plan 1、Plan 2、E3、E5、Business Premium 和 add-ons 很快让主题变得混乱。Microsoft 能做很多事,但不总是优雅。
即便如此,Microsoft 仍然是许多公司的最硬参考点。如果 Sophos Email 或 Sophos Email Plus 要与之竞争,Sophos 必须非常具体地展示真正改善了什么:less operational effort、better response、better transparency,或自家 tenant 中可测量的更好 results。我不会只因为“additional protection layer”这个理由就通过。
Cloudflare Email Security
Cloudflare 是值得认真对待的竞争者,尤其因为它不把 email security 孤立看待。来自 Area 1 世界的方案非常适合更广泛的 Zero Trust 和 network security model。已经重度使用 Cloudflare 的组织,会得到额外战略吸引力。
问题是 Cloudflare 并不会自动成为每个经典 Microsoft 365 环境的明显选择。没有现有 Cloudflare focus,它很快像是另一个需要先在组织和技术上落地的平台。
与 Sophos 直接比较时,Cloudflare 在 architecture thinking 上通常更现代,但对典型 SMB 来说不一定更简单或更自然。
Mimecast
Mimecast 仍然是市场上最认真的 specialist 之一。当 email security 不只是 spam filter,而是 protection、continuity、archiving、DMARC、awareness 和 operational processes 的组合时,它很强。技术上,Mimecast 在这个 segment 里对我仍然是一个 reference。
在更大或更成熟的环境中,Mimecast 常常是 specialized email security 的 benchmark。缺点和许多大型 specialist platform 一样:可能复杂且昂贵。
对小公司来说,它很快会变成过多的产品。对大型环境来说,Mimecast 仍然是真正的 benchmark。
Proofpoint
Proofpoint 仍然是市场上的大名字之一。它在将 people、data 和 Microsoft 365 workflows 作为一个 package 来保护时特别强。它的市场地位不是偶然形成的。
这不只是纯粹的 spam filter,而往往是 platform decision。对正好需要这种广度的企业来说,它很有吸引力。对小公司来说,也可能很快显得 overkill。
Cisco Secure Email Threat Defense
Cisco 在 email-security market 中历史上很强,尤其是因为 IronPort 和 Talos。技术上它不是轻量产品,而是成熟的 enterprise provider。
在 Cisco-heavy environments 中,这完全可能有意义。缺点仍然是典型 Cisco world:强大,但对小团队来说不一定最简单或最便宜。
Trend Micro
Trend Micro 也不是小 vendor。当 email security 被视为更广泛的 detection-and-response 或 platform approach 的一部分时,它很强。
在已经大量投资 Trend Vision One 或其他 Trend products 的环境中,Trend Micro 尤其有意思。此时会出现类似 Sophos 的论点:central visibility、shared telemetry、fewer islands。
在这个 ecosystem 之外,必须仔细查看 license boundaries 和 product combinations。和所有 vendor 一样,真正的比较往往不在 feature list 中,而在于哪个 function 实际包含在哪个 license 里。
我的建议
Sophos Email Plus 不是应该反射性购买的产品。
但反射性否定它也太简单了。在这个领域,一刀切判断几乎总是不严肃的。
对现有 Sophos customers 来说,建议相当清楚:Sophos Email 与 Sophos Email Plus 的具体价格差异必须摆在桌面上,基于真实 user count 和 term。只有这样才能干净地评估日常运维中真正相关的 functions。我不会根据 marketing terms 做这个决定,而只会根据 value、effort 和 price。
Sophos Email Plus 主要在至少满足以下两点时才值得:
- DMARC 需要专业运营,且还没有其他 DMARC tool 干净地部署。
- 额外 message-handling functions 在 operations 中确实需要。
- Sophos MDR、XDR 或 Sophos Central 被一致使用,以至于 email events 成为 response chain 的一部分。
- 存在具体、可测量的 cases,说明 Microsoft 365 alone 放过太多内容,或在 response 上运营表现不够好。
如果 Microsoft 365 配置干净,DMARC 已经解决,没有 Sophos MDR/XDR context,主要需求是强 spam 和 phishing protection,那么 Sophos Email Plus 很难证明合理。在这个 scenario 中,我会对可证明的额外价值设置非常高的要求。
同样重要的是:roadmap 不是购买理由,datasheet 上的一句话不能替代今天的价值。Sophos Email 会继续发展,这是理所当然的。Security product 如果停滞,就会被超越。但尤其在 Sophos 上,我过去经常看到,宣布或暗示的 improvements 需要很长时间才在日常运营中真正有意义。因此,提到 future features 在我看来更像是为了证明更高价格而必须写的一句话。应该付费的是今天已经到达 tenant 的价值。
结论
Sophos Email Plus 技术上不是坏 idea。DMARC Manager 在许多环境中本来就应该在 task list 上,更好的 message-handling functions 也可能带来真实运营价值。
不舒服的部分是包装。
在 Standard 和 Advanced、Standard 结束、Advanced 实际成为 baseline 之后,现在又出现一个 premium tier。这可以被说成 portfolio development。但客户感到疲惫也完全可以理解。
因此 Sophos Email Plus 不是自动的 “must-have” purchase,而是必须先在真实 tenant 中证明自己的产品。我的观点很简单:
它额外发现了多少 threats?节省了多少 operational time?response 工作得多好?产生多少 false positives?这是否证明新的 price tier 合理?
如果这些问题能被干净回答,Sophos Email Plus 可以有意义。
如果不能,它主要就是一件事:Sophos 再次“simplify”的产品线中的下一个 tier。
下次见,
Joe
