Email Security Gateway für Microsoft 365: So schließen Sie die Sicherheitslücken
Microsoft 365 ist der De-facto-Standard für Unternehmens-E-Mail. Exchange Online bietet mit Exchange Online Protection (EOP) einen integrierten Basisschutz gegen Spam und bekannte Malware. Doch bei genauerem Hinsehen zeigen sich kritische Lücken – Lücken, die ein dediziertes Email Security Gateway schließt.
Was Microsoft 365 kann – und was nicht
Was Exchange Online Protection (EOP) leistet
- ✅ Spam-Filterung mit Quarantäne
- ✅ Erkennung bekannter Malware-Signaturen
- ✅ Grundlegende SPF/DKIM/DMARC-Prüfung
- ✅ Basis-Phishing-Erkennung
Was Microsoft 365 NICHT bietet
- ❌ Automatische S/MIME- oder PGP-Verschlüsselung – Microsoft bietet nur OME (Office Message Encryption), das proprietär ist und keine echte End-to-End-Verschlüsselung mit Standardprotokollen bietet
- ❌ Zentrales DLP für den Mailflow – Microsoft Purview DLP existiert, ist aber komplex, teuer (E5-Lizenz) und nicht auf E-Mail-spezifische Szenarien optimiert
- ❌ Disclaimer-Management im Mailflow – Exchange Transport Rules können einfache Textblöcke anhängen, aber keine dynamischen, geräteunabhängigen Signaturen
- ❌ Mehrstufige Sandbox-Analyse – Nur mit dem teuren Defender for Office 365 Plan 2 verfügbar
- ❌ Unabhängige Sicherheitsschicht – Bei einem Kompromittierung des Microsoft-Kontos fallen alle Schutzfunktionen gleichzeitig aus
Lesen Sie auch: Warum der Microsoft 365 Spamfilter allein nicht reicht
Die 5 kritischen Lücken in Microsoft 365
Lücke 1: Keine standardbasierte Verschlüsselung
Microsoft 365 bietet keine native S/MIME- oder PGP-Verschlüsselung auf Gateway-Ebene. Nutzer müssten Zertifikate manuell in Outlook importieren – ein Ansatz, der in der Praxis scheitert. Ein Email Security Gateway wie SecureMail verschlüsselt automatisch und zentral.
Erfahren Sie mehr über SecureMail für Microsoft 365 →
Lücke 2: Eingeschränkte Phishing-Erkennung
EOP erkennt bekannte Phishing-Muster, scheitert aber häufig an:
- Zero-Day-Phishing: Neue, unbekannte Angriffsvektoren
- Spear-Phishing: Individuell zugeschnittene Angriffe auf Führungskräfte
- BEC (Business Email Compromise): Social-Engineering-Angriffe ohne Malware-Anhang
Ein Email Security Gateway ergänzt den Microsoft-Schutz um mehrstufige Analyse und KI-basierte Erkennung. Conbooles MailGuard bietet hier umfassenden Phishing-Schutz.
Lücke 3: Kein echtes Disclaimer-Management
Exchange Transport Rules können nur statische Textblöcke an E-Mails anhängen. Was fehlt:
- Dynamische Felder (Name, Abteilung, Telefonnummer)
- Responsive HTML-Signaturen
- Kampagnen-Banner
- Geräteunabhängige Darstellung
Conbool Disclaimer löst all diese Anforderungen im Mailflow. Details: Email Disclaimer Management für Microsoft 365
Lücke 4: Fehlende Unabhängigkeit
Wenn ein Angreifer Zugriff auf Ihr Microsoft-365-Konto erhält, sind alle internen Schutzfunktionen kompromittiert. Ein externes Email Security Gateway bildet eine unabhängige Sicherheitsschicht, die auch bei einer Microsoft-Kompromittierung weiter schützt.
Lücke 5: Compliance-Lücken
Microsoft 365 bietet Compliance-Tools, aber:
- DLP erfordert teure E5-Lizenzen
- Reporting ist auf das Microsoft-Ökosystem beschränkt
- Nachweispflichten für NIS2 und DSGVO sind schwer abzubilden
Architektur: So integriert sich ein Email Security Gateway mit Microsoft 365
Internet → Email Security Gateway → Exchange Online → Postfach
↓
Verschlüsselung
Bedrohungsschutz
DLP-Prüfung
Disclaimer
Einrichtung in 3 Schritten:
- MX-Record umstellen: DNS-Eintrag zeigt auf das Gateway statt direkt auf Microsoft
- Connector konfigurieren: Exchange Online akzeptiert E-Mails nur noch vom Gateway
- Richtlinien aktivieren: Verschlüsselungs-, DLP- und Disclaimer-Regeln konfigurieren
Bei Conbool dauert die gesamte Integration typischerweise unter einer Stunde.
Kostenvergleich: Gateway vs. Microsoft E5
| Funktion | Microsoft E5 | Email Security Gateway |
|---|
| Erweiterte Bedrohungserkennung | Defender Plan 2 (in E5) | MailGuard |
| S/MIME/PGP-Verschlüsselung | ❌ Nicht enthalten | ✅ SecureMail |
| DLP | Purview (komplex) | ✅ Gateway-DLP |
| Disclaimer-Management | ❌ Nur Transport Rules | ✅ Conbool Disclaimer |
| E5-Lizenzkosten | ~57 €/Nutzer/Monat | Nicht nötig |
| Gateway-Kosten | — | Deutlich günstiger |
Für die meisten Unternehmen ist ein Email Security Gateway auf einer günstigeren Microsoft-Lizenz (E3 oder Business) kosteneffektiver als ein Upgrade auf E5.
FAQ
Hat Microsoft 365 ein eigenes Email Security Gateway?
Microsoft 365 bietet EOP und optional Defender for Office 365, aber kein vollständiges Email Security Gateway mit automatischer S/MIME/PGP-Verschlüsselung, zentralem DLP und Disclaimer-Management.
Wie wird ein Email Security Gateway in Microsoft 365 integriert?
Über eine MX-Record-Änderung. Alle E-Mails passieren zuerst das Gateway, bevor sie an Exchange Online weitergeleitet werden. Die Einrichtung dauert bei Conbool unter einer Stunde.
Ist ein Email Security Gateway eine Alternative zu Microsoft Defender?
Es ist eine Ergänzung, keine Alternative. Das Gateway bildet eine unabhängige Sicherheitsschicht vor Microsoft 365 und bietet Funktionen, die Defender nicht abdeckt (Verschlüsselung, Disclaimer, unabhängige DLP).
Weiterführend:
