15
Sophos UTM EOL - Ersatz für Mailgateway (mandantenfähig)
Hallo zusammen
Heute komme ich mit einer Frage auf euch zu, die mich schon längere Zeit beschäftigt.
Stand jetzt setzen wir eine Sophos UTM als Mailgateway für ca. 60 Domains ein. Die UTM geht ja Ende Juni 2026 in den Ruhestand und die neuen Sophosprodukte (SFOS sowie Cloud) können nicht das bieten, was wir derzeit mit der UTM machen. Wir brauchen eine Lösung die:
Nach Anfrage bei diversen Herstellern ist - Stand jetzt - nur der NoSpamProxy dazu fähig, dort ist die Mandantenverwaltung aber etwas "unschön" gelöst (Default-Profil erstellen, dann kopieren - nachträgliche Änderungen müssen bei jedem Profil gemacht werden, etc...).
Ich gehe mal davon aus, dass viele der alten "UTM'ler" vor diesem Problem stehen. Es gibt viele gute Lösungen am Markt, bei mir scheitert es aber immer an der Mandanten-Geschichte. Hinter der UTM stehen mehrere verschiedene Exchange-Server, es muss also auch pro Domain möglich sein, die Mails entsprechend an einen Host weiterzuleiten...
Wie sind eure Ansätze für eine Lösung nach Juni 2026?
Danke für die Aufmerksamkeit
LG,
Lars
Heute komme ich mit einer Frage auf euch zu, die mich schon längere Zeit beschäftigt.
Stand jetzt setzen wir eine Sophos UTM als Mailgateway für ca. 60 Domains ein. Die UTM geht ja Ende Juni 2026 in den Ruhestand und die neuen Sophosprodukte (SFOS sowie Cloud) können nicht das bieten, was wir derzeit mit der UTM machen. Wir brauchen eine Lösung die:
- On prem als virtual appliance läuft (auf VMware)
- Mandantenfähig ist, eigenes Regelwerk pro Profil/Domain
- ebenfalls als Mailrelay fungieren kann (entweder mit Auth oder über festgelegte IPs)
- Quarantäne-Portal für User anbietet, idealerweise mit Authentifizierung des Users über AD/LDAP
Nach Anfrage bei diversen Herstellern ist - Stand jetzt - nur der NoSpamProxy dazu fähig, dort ist die Mandantenverwaltung aber etwas "unschön" gelöst (Default-Profil erstellen, dann kopieren - nachträgliche Änderungen müssen bei jedem Profil gemacht werden, etc...).
Ich gehe mal davon aus, dass viele der alten "UTM'ler" vor diesem Problem stehen. Es gibt viele gute Lösungen am Markt, bei mir scheitert es aber immer an der Mandanten-Geschichte. Hinter der UTM stehen mehrere verschiedene Exchange-Server, es muss also auch pro Domain möglich sein, die Mails entsprechend an einen Host weiterzuleiten...
Wie sind eure Ansätze für eine Lösung nach Juni 2026?
Danke für die Aufmerksamkeit
LG,
Lars
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671279
Url: https://administrator.de/forum/sophos-utm-eol-ersatz-fuer-mailgateway-mandantenfaehig-671279.html
Ausgedruckt am: 13.03.2025 um 17:03 Uhr
15 Kommentare
Neuester Kommentar
Aber Sophos XG macht doch weiter, oder?
Hallo,
also der NoSpamProxy wäre eine gute Wahl. Auch wenn das Handling etwas Einarbeitung braucht, aber sowohl Doku als auch Support sind Top!
Von Sophos (nicht nur E-Mail) würde ich mittlerweile allgemein die Finger lassen. Gerade das Mailing ist eine absolute Katastrophe.
VG
Olsen
also der NoSpamProxy wäre eine gute Wahl. Auch wenn das Handling etwas Einarbeitung braucht, aber sowohl Doku als auch Support sind Top!
Von Sophos (nicht nur E-Mail) würde ich mittlerweile allgemein die Finger lassen. Gerade das Mailing ist eine absolute Katastrophe.
VG
Olsen
2
Als (ehemaliger) Sophos Nutzer mach ich einen großen Bogen um Sophos. Ich kopiere mal mein Kommentar von damals.
Als jahrelanger Sophos/Astaro Kunde kann ich von Sophos mittlerweile nur noch abraten!
LIZENPOLITIK
Die Lizenzkosten wurden bei Kollegen und mir (UTM Firewall) verdoppelt, z.B. bei der SG Serie (eol Juni 2026), ab ca. 2020 beachtliche 200% Lizenzkosten, 0% Neuerungen, 0% Mehrwert, bei den mir bekannten Fällen (36 Monate Lizenz). Vor allem KMUs hatten es in der Corona Zeit sowieso schon schwer und wurden von Sophos mit einer Verdoppelung der Lizenzkosten zur Kasse gebeten.
Mein Eindruck
Sophos wächst, Secureworks wurde gerade aufgekauft und auch Bestandskunden ohne Neuerungen sollen den Sophos Kosmos finanzieren, Zweck und Individualität gehen in so mancher Konzernstruktur einfach manchmal unter.
Feedback Sophos: "Wenn Sie nun doch schon fast die Lizenzkosten einer XGS zahlen, wie wäre es, eine zu kaufen?"
Gefühlt versickern die Kosten für so manche Abo's und Supportkosten in einer Systematik oder Konzernstruktur, wie unsere Rentenversicherung, irgendwo im Nirvana, aber kommen nie mehr beim Zahlenden an.
KOSTENPLANUNG
Wie oben genannt muss man bei der Kostenplanung die Lizenzkosten wohl nun im Auge behalten. Ich rechne i.d.R. auf 60 Monate.
SUPPORTCHARAKTER
Der Sophos Herstellersupport ist der absolute Horror!
0815-Fehler sollte man besser mit der Community klären, dieses Forum ist für Sophos natürlich nicht so kostenintensiv wie ein Supportmitarbeiter, welche i.d.R. nicht in Deutschland sitzen. Der 1. Level Herstellersupport verweist auch auf die Community.
Die Summe an Lizenzkosten + Enhanced Plus Support + zertifizierten 150€/h Dienstleister + Zeit kann sich ggf. nicht jedes Unternehmen leisten.
siehe auch Kommentare von @jsysde
Firewall ersetzen
Sophos = schlechter Support muss nicht billig sein!
HARDWARE
Ich finde auch die, wenn man mal die genauen Spezifikationen findet, die Sophos Hardware doch recht teuer für das Gebotene. https://firewalls24.de/blog/sophos-xgs-firewall-vergleich-durchsatz-cpu- ...
Schnittstellenerweiterungen sind ebenfalls überteuert, sollte diese mal in der Lebenszeit der Firewall ausgehen und/oder aufgerüstet werden müssen.
WLAN Access Points
Ich finde ebenso, wie hier beschrieben, das EOL Datum für Sophos Access Point unangebracht.
Das bedeutet, dass man Ende Dezember 2027 etwas überspitzt gesagt nur noch Hardwareschrott in den Händen hält, welcher im schlimmsten Fall gerade mal 3 Jahre und 8 Monate alt ist
Quelle: https://www.avanet.com/blog/sophos-apx-access-points-end-of-life-und-end ...
PRO
Aber auf meiner alte Sophos Hardware lässt sich auch OPNsense installieren, auch wenn ich sowas nicht kommerziell nutzen würde.
ZUKUNFT
Ich glaube, das neue Sophos Konstrukt bietet sehr viel Dienstleistungspotential für Sophos-Partner bzw. Systemhäuser, bedingt durch mehr Features, Cloudanbindung,... Ob man die Features aber wirklich benötigt oder möchte, sollte regelmäßig reflektiert werden.
ALTERNATIVEN
Ich finde Ansätze wie von Thomas Krenn sehr interessant: https://www.youtube.com/watch?v=1fq20MkeguU
Zumal man, wie im Falle der OPNsense, einfach lizenzkostenfrei (auf alter Hardware) testen kann, und entsprechend mit Plugins oder Zenarmor, erweitern kann, natürlich mit kostenpflichten Business- oder Enterprise Support.
https://www.zenarmor.com/plans
Jemand hatte auch mal gebracht Sophos sei so gut, weil da kein CVE kommt. CVE sind für mich aber Pro/Contra.
https://app.opencve.io/cve/?cvss=critical&search=sophos
Als jahrelanger Sophos/Astaro Kunde kann ich von Sophos mittlerweile nur noch abraten!
LIZENPOLITIK
Die Lizenzkosten wurden bei Kollegen und mir (UTM Firewall) verdoppelt, z.B. bei der SG Serie (eol Juni 2026), ab ca. 2020 beachtliche 200% Lizenzkosten, 0% Neuerungen, 0% Mehrwert, bei den mir bekannten Fällen (36 Monate Lizenz). Vor allem KMUs hatten es in der Corona Zeit sowieso schon schwer und wurden von Sophos mit einer Verdoppelung der Lizenzkosten zur Kasse gebeten.
Mein Eindruck
Sophos wächst, Secureworks wurde gerade aufgekauft und auch Bestandskunden ohne Neuerungen sollen den Sophos Kosmos finanzieren, Zweck und Individualität gehen in so mancher Konzernstruktur einfach manchmal unter.
Feedback Sophos: "Wenn Sie nun doch schon fast die Lizenzkosten einer XGS zahlen, wie wäre es, eine zu kaufen?"
Gefühlt versickern die Kosten für so manche Abo's und Supportkosten in einer Systematik oder Konzernstruktur, wie unsere Rentenversicherung, irgendwo im Nirvana, aber kommen nie mehr beim Zahlenden an.
KOSTENPLANUNG
Wie oben genannt muss man bei der Kostenplanung die Lizenzkosten wohl nun im Auge behalten. Ich rechne i.d.R. auf 60 Monate.
SUPPORTCHARAKTER
Der Sophos Herstellersupport ist der absolute Horror!
0815-Fehler sollte man besser mit der Community klären, dieses Forum ist für Sophos natürlich nicht so kostenintensiv wie ein Supportmitarbeiter, welche i.d.R. nicht in Deutschland sitzen. Der 1. Level Herstellersupport verweist auch auf die Community.
Die Summe an Lizenzkosten + Enhanced Plus Support + zertifizierten 150€/h Dienstleister + Zeit kann sich ggf. nicht jedes Unternehmen leisten.
siehe auch Kommentare von @jsysde
Firewall ersetzen
Sophos = schlechter Support muss nicht billig sein!
HARDWARE
Ich finde auch die, wenn man mal die genauen Spezifikationen findet, die Sophos Hardware doch recht teuer für das Gebotene. https://firewalls24.de/blog/sophos-xgs-firewall-vergleich-durchsatz-cpu- ...
Schnittstellenerweiterungen sind ebenfalls überteuert, sollte diese mal in der Lebenszeit der Firewall ausgehen und/oder aufgerüstet werden müssen.
WLAN Access Points
Ich finde ebenso, wie hier beschrieben, das EOL Datum für Sophos Access Point unangebracht.
Das bedeutet, dass man Ende Dezember 2027 etwas überspitzt gesagt nur noch Hardwareschrott in den Händen hält, welcher im schlimmsten Fall gerade mal 3 Jahre und 8 Monate alt ist
Quelle: https://www.avanet.com/blog/sophos-apx-access-points-end-of-life-und-end ...
PRO
Aber auf meiner alte Sophos Hardware lässt sich auch OPNsense installieren, auch wenn ich sowas nicht kommerziell nutzen würde.
ZUKUNFT
Ich glaube, das neue Sophos Konstrukt bietet sehr viel Dienstleistungspotential für Sophos-Partner bzw. Systemhäuser, bedingt durch mehr Features, Cloudanbindung,... Ob man die Features aber wirklich benötigt oder möchte, sollte regelmäßig reflektiert werden.
ALTERNATIVEN
Ich finde Ansätze wie von Thomas Krenn sehr interessant: https://www.youtube.com/watch?v=1fq20MkeguU
Zumal man, wie im Falle der OPNsense, einfach lizenzkostenfrei (auf alter Hardware) testen kann, und entsprechend mit Plugins oder Zenarmor, erweitern kann, natürlich mit kostenpflichten Business- oder Enterprise Support.
https://www.zenarmor.com/plans
Jemand hatte auch mal gebracht Sophos sei so gut, weil da kein CVE kommt. CVE sind für mich aber Pro/Contra.
https://app.opencve.io/cve/?cvss=critical&search=sophos
Die Central Email Lösung würde das nicht können?
Du könntest hier, die Mandantenfähigkeit durch eigene Instanzen in Central lösen - Dabei baust du pro Kunden (Domäne) eine Central Instanz auf (Kannst du auch über MSP abrechnen) und jede Instanz ist dann vollständig voneinander getrennt. Die Weitergabe erfolgt dann an deinen entsprechenden Exchange Server.
Was genau fehlt denn in CEMA außer die "On Premise" Variante?
Du könntest hier, die Mandantenfähigkeit durch eigene Instanzen in Central lösen - Dabei baust du pro Kunden (Domäne) eine Central Instanz auf (Kannst du auch über MSP abrechnen) und jede Instanz ist dann vollständig voneinander getrennt. Die Weitergabe erfolgt dann an deinen entsprechenden Exchange Server.
Was genau fehlt denn in CEMA außer die "On Premise" Variante?
Danke euch erstmal für die Antworten...
@nachgefragt: Der Beitrag kommt mir bekannt vor, ich meine den schon einmal gesehen zu haben Nur leider bringt mich das bei meinem Problem nicht weiter...
@LucarToni: Bedingt durch bestehende Datenschutzgesetze für besonders schützenswerte Daten (Schweiz) muss die Datenhaltung zwingend in der Schweiz sein, daher fällt die CEMA weg... Es ist nicht so, dass ich grundsätzlich gegen Sophos bin (wir sind Goldpartner), aber dieses "immer mehr in die Cloud" (wo Sophos nicht die einzigen sind) funktioniert so einfach nicht... Und die Lösung mit SFOS habe ich damals versucht, das funktioniert auch nicht so wie auf der alten UTM, daher läuft die UTM ja überhaupt noch...
@nachgefragt: Der Beitrag kommt mir bekannt vor, ich meine den schon einmal gesehen zu haben
Nur leider bringt mich das bei meinem Problem nicht weiter...@LucarToni: Bedingt durch bestehende Datenschutzgesetze für besonders schützenswerte Daten (Schweiz) muss die Datenhaltung zwingend in der Schweiz sein, daher fällt die CEMA weg... Es ist nicht so, dass ich grundsätzlich gegen Sophos bin (wir sind Goldpartner), aber dieses "immer mehr in die Cloud" (wo Sophos nicht die einzigen sind) funktioniert so einfach nicht... Und die Lösung mit SFOS habe ich damals versucht, das funktioniert auch nicht so wie auf der alten UTM, daher läuft die UTM ja überhaupt noch...
Naja, indirekt vielleicht.
Das gilt aber nur für mich, andere dürfen weiter die Geldbörse aufreißen und die dagegen liegende Erwartung Richtung Erdkern senken.
EDIT
Es sollte an der Stelle erwähnt sein, LucarToni ist ein Sophos Mitarbeiter, bekommt also seine Brötchen von Sophos. Man darf daher annehmen, seine Antworten fallen pro Sophos aus, wer beißt schon die Hand die einen füttert.
Wie sind eure Ansätze für eine Lösung nach Juni 2026?
Egal wie, aber nicht mehr mit Sophos, ist mein Fazit aus der jahrelangen Erfahrung mit dem Hersteller.Das gilt aber nur für mich, andere dürfen weiter die Geldbörse aufreißen und die dagegen liegende Erwartung Richtung Erdkern senken.
EDIT
Es sollte an der Stelle erwähnt sein, LucarToni ist ein Sophos Mitarbeiter, bekommt also seine Brötchen von Sophos. Man darf daher annehmen, seine Antworten fallen pro Sophos aus, wer beißt schon die Hand die einen füttert.
Zitat von @nachgefragt:
EDIT
Es sollte an der Stelle erwähnt sein, LucarToni ist ein Sophos Mitarbeiter, bekommt also seine Brötchen von Sophos. Man darf daher annehmen, seine Antworten fallen pro Sophos aus, wer beißt schon die Hand die einen füttert.
EDIT
Es sollte an der Stelle erwähnt sein, LucarToni ist ein Sophos Mitarbeiter, bekommt also seine Brötchen von Sophos. Man darf daher annehmen, seine Antworten fallen pro Sophos aus, wer beißt schon die Hand die einen füttert.
Ich kenne ihn aus der Sophos-Community
Zitat von @uebeltat:
Ich kenne ihn aus der Sophos-Community
Zitat von @nachgefragt:
EDIT
Es sollte an der Stelle erwähnt sein, LucarToni ist ein Sophos Mitarbeiter, bekommt also seine Brötchen von Sophos. Man darf daher annehmen, seine Antworten fallen pro Sophos aus, wer beißt schon die Hand die einen füttert.
EDIT
Es sollte an der Stelle erwähnt sein, LucarToni ist ein Sophos Mitarbeiter, bekommt also seine Brötchen von Sophos. Man darf daher annehmen, seine Antworten fallen pro Sophos aus, wer beißt schon die Hand die einen füttert.
Ich kenne ihn aus der Sophos-Community
Es sollte an der Stelle erwähnt sein, nachgefragt postet jedes mal den selben Anti Sophos post in alle Sophos Themen.
Ich habe leider aufgegeben, mit ihm zu interagieren, weil er auch komische Punkte vertritt und sich auch nicht helfen lassen möchte. Kann man gern auch hier nachlesen: Aktuelle Probleme mit der XG(s) Serie von Sophos
Bezüglich deiner Thematik, dann können wir wohl da nicht weiterhelfen. Ich kenne mich mit Schweizer Recht nicht aus bzw. Datenvorhaltung aus der Schweiz - Weiß jedoch das viele Schweizer Kunden auch Central einsetzen.
@NordicMike
Nein. Die UTM ist ein Maybach. Eine richtig krasse Lösung. Ich hab die auch noch im Rennen! Ich hab in einer anderen Kanzlei eine große XG. Die kann man vergessen.
Was Du mit der UTM machen kannst, bildet die XG nicht mehr in diesem Umfang ab.
Ich mache um Sophos einen riesen Bogen.
Ich hab seitdem ich die Politik von Sophos verstanden habe mir folgendes auf die Fahne geschrieben:
Nie wieder alles aus einer Hand. Immer so divers wie möglich.
Gruß
bdmvg
Aber Sophos XG macht doch weiter, oder?
Nein. Die UTM ist ein Maybach. Eine richtig krasse Lösung. Ich hab die auch noch im Rennen! Ich hab in einer anderen Kanzlei eine große XG. Die kann man vergessen.
Was Du mit der UTM machen kannst, bildet die XG nicht mehr in diesem Umfang ab.
Ich mache um Sophos einen riesen Bogen.
Ich hab seitdem ich die Politik von Sophos verstanden habe mir folgendes auf die Fahne geschrieben:
Nie wieder alles aus einer Hand. Immer so divers wie möglich.
Gruß
bdmvg
1
Bin ich 100%ig bei dir, einfach aus der Erfahrung raus. Die all-in-one Dinger gehen meist nach hinten los.
@topic
Ich poste nicht "Anti Sophos", ich poste belegbare Fakten und meine persönliche Erfahrung als langjähriger Sophos/Astaro Kunde. Das es negativ ausfällt, liegt nicht an uns. Wenn etwas gut ist, dann wird das meinerseits ebenso ausgedrückt. Mir hat diese Community bereits sehr viel geholfen, so kann ich ggf. ein kleines Stück zurückgeben.
@topic
Ich poste nicht "Anti Sophos", ich poste belegbare Fakten und meine persönliche Erfahrung als langjähriger Sophos/Astaro Kunde. Das es negativ ausfällt, liegt nicht an uns. Wenn etwas gut ist, dann wird das meinerseits ebenso ausgedrückt. Mir hat diese Community bereits sehr viel geholfen, so kann ich ggf. ein kleines Stück zurückgeben.
1
Fassen wir mal zusammen: Jeder wie er möchte, wir haben uns alle lieb
Spass beiseite - scheint wohl wirklich nicht all zu viel Alternativen zu geben... Danke schonmal für die Diskussion - schauen wir, was noch kommt
LG
Spass beiseite - scheint wohl wirklich nicht all zu viel Alternativen zu geben... Danke schonmal für die Diskussion - schauen wir, was noch kommt
LG
1
Abschließend hinterlasse ich dir mal die Info der Release Notes, ich selbst nutze die BE Version (360€ für 36 Monate). In der CE Versionen werden Neuerung wohl erstmal getestet, d.h. welche in die BE wandern oder nicht.
OPNsense Release Notes https://docs.opnsense.org/releases.html
und etwas Video Material https://www.youtube.com/results?search_query=opnsense+sophos
Ein schönes Wochenende und viel Erfolg!
OPNsense Release Notes https://docs.opnsense.org/releases.html
und etwas Video Material https://www.youtube.com/results?search_query=opnsense+sophos
Ein schönes Wochenende und viel Erfolg!
Moin,
neben NoSpamProxy werfe ich mal noch ProofPoint ins Rennen. Auch mit dem Wissen, dass es für die Schweiz vermutlich ungeeignet ist.
Gruß,
Dani
neben NoSpamProxy werfe ich mal noch ProofPoint ins Rennen. Auch mit dem Wissen, dass es für die Schweiz vermutlich ungeeignet ist.
Gruß,
Dani
1
Hi Dani
Sieht auf den ersten Blick auch interessant aus und scheint ja auch als "vor Ort Lösung" (so wie sie es nennen) verfügbar zu sein... Weisst du was bezüglich Mandantenfähigkeit? Da habe ich auf der Seite so nichts gefunden...
LG,
Lars
Sieht auf den ersten Blick auch interessant aus und scheint ja auch als "vor Ort Lösung" (so wie sie es nennen) verfügbar zu sein... Weisst du was bezüglich Mandantenfähigkeit? Da habe ich auf der Seite so nichts gefunden...
LG,
Lars
Proofoint sollte für dich auch klappen, mehrere Domains sind kein Thema. Schau einfach, ob du einen (lokalen) Partner findest, Testphase sollte möglich sein.
Die dort gelisteten Sending Server werden von meiner OPNsense angenommen und zum Ziel geführt.
Die dort gelisteten Sending Server werden von meiner OPNsense angenommen und zum Ziel geführt.
