Zur Startseite gehen
0,00 €*

Sophos Email Advanced: „Neuer Absender“ & Lernphase praxisnah erklärt

von: Daniel Benmoussa - Mahi | 27. Februar 2026

Neuer Absender in Sophos Email Advanced – so funktioniert’s

„Neuer Absender“ ist der freundliche Türsteher im Posteingang: Er blockiert nicht automatisch jede Mail, aber er macht sichtbar, wenn ein Absender für dieses Postfach nicht zum üblichen Kommunikationsmuster passt. Genau dort landen häufig Phishing- und BEC-Mails („Chef-Masche“).

Was bedeutet „Neuer Absender“?

Die Funktion markiert eingehende E-Mails von Absendern, von denen Benutzer nicht regelmäßig E-Mails erhalten. Die Bewertung passiert pro Postfach: Ein Absender kann für Empfänger A „neu“ sein, für Empfänger B aber nicht – je nachdem, wer in der Vergangenheit schon Kontakt hatte.

Ein wichtiger Punkt aus der Doku: Sophos betrachtet die Absenderhistorie pro Postfach über einen Zeitraum von sechs Monaten. Ein Absender gilt als „neu“, wenn er in dieser Zeit keine E-Mail an dieses Postfach gesendet hat (sofern er nicht bereits explizit erlaubt ist).

Die Lernphase: erst beobachten, dann warnen

Bevor Sophos sinnvoll warnen kann, braucht es eine Baseline. Dafür gibt es die Lernphase. Während dieser Zeit sammelt Sophos Absenderdaten und erstellt ein Absenderprofil ohne „Neuer Absender“ Warnungen anzuzeigen und ohne Banner-Aktionen auszuführen. 

Wichtig (und gern übersehen): Die Lernphase beginnt mit der ersten eingehenden E-Mail, nicht mit dem Hinzufügen des Postfachs.

Lernphase konfigurieren (global)

Pfad: Allgemeine Einstellungen → Einstellungen für neue Absender 

Dort wählen Sie die Dauer der Lernphase: 

  • 0 / 7 / 14 (Standard) / 30 / 45 / 60 / 90 Tage 

Hinweis: Änderungen wirken nur für neue Sophos Email-Konten oder neue Absender, die nach der Änderung erstmals beobachtet werden. Vorhandene Absenderdaten werden nicht zurückgesetzt.

Konfiguration in der Email Security-Richtlinie

Unter Email Security-Richtlinie → Eingehend → Neuer Absender legen Sie fest, ob die Funktion aktiv ist und wie das Smart-Banner für Ihre Benutzer aussieht. Sie können zudem definieren, welche Aktionen die Anwender direkt im Banner nutzen dürfen

Hier legen Sie fest:

  • ob „Neuer Absender“ aktiv ist
  • wie das Smart-Banner aussieht

Welche Aktionen Benutzer im Banner nutzen dürfen, z. B.:

  • Absender zulassen
  • Absender blockieren
  • Spam melden
Achtung: Die Links „Absender zulassen/blockieren“ erscheinen nur, wenn diese Optionen in den Benutzereinstellungen aktiviert sind.

Praxisbeispiele: So verhält sich das im Alltag

1) Neues Postfach / neue User

In der Lernphase werden neue Absender „still“ gelernt. Nach Ablauf der Lernphase werden Absender, die nicht zur Baseline passen, sichtbar markiert.

2) BEC-/Phishing-Szenario

Nach der Lernphase kommt eine externe Mail mit „Bitte dringend überweisen“ von einer Adresse, die bisher nie an dieses Postfach geschrieben hat. Das Smart-Banner „Neuer Absender“ macht den Bruch im Muster sichtbar, damit der Empfänger genauer hinschaut.

3) Domain-Wechsel bei Lieferanten:

  • Wechselt ein Partner seine Domain (z. B. von .de auf -group.com)
  • Für das Postfach ist das zunächst ein neuer Absender – genau der Moment, den Angreifer gern ausnutzen.
  • Die Markierung hilft, den Wechsel bewusst zu prüfen.

4) Quarantäne-Freigabe

  • Wird eine Mail aus Quarantäne zugestellt, kann das „Neuer Absender“-Banner beim Zustellen erscheinen. 
  • Je nach Ablauf greifen Allow-Entscheidungen möglicherweise erst für nachfolgende E-Mails.

5) Mail an mehrere Empfänger

  • Ein Absender kann für Empfänger A „neu“ sein und für Empfänger B nicht – Sophos bewertet pro Postfach separat.

6) Alias-Postfächer

  • Bei Alias-Adressen orientiert sich die Bewertung typischerweise am zugehörigen primären Postfach.

7) Wiederholte unbeantwortete Absender (optional)

  • Optional können Sie „wiederholte unbeantwortete Absender“ einbeziehen. 
  • Dann bleibt der Hinweis bei wiederholten E-Mails sichtbar, bis der Empfänger antwortet oder die Lernphase endet. 
  • Das hängt vom Mailflow ab: Damit Sophos Antworten zuverlässig erkennt, muss Outbound über Sophos geroutet werden.

Empfehlung für die Lernphase (praxisnah)

  • 7 Tage: schneller Schutzstart, dafür eher mehr „Start-Lärm“
  • 14 Tage: guter Standard für die meisten Umgebungen
  • 30 Tage: sinnvoll bei sehr dynamischen Kontakten (Projektgeschäft, viele neue Lieferanten/Partner)

Benötigen Sie Unterstützung bei der Härtung Ihrer Sophos Email Policies?

Unsere Experten prüfen Ihre Richtlinien und geben konkrete Empfehlungen zur Optimierung Ihres Schutzes vor modernen Phishing-Angriffen.

Links zur weiteren Recherche:

Autor: Daniel Benmoussa - Mahi

7 Jahre Technischer Support 


Zertifizierung: 

  • Sophos MDR Sales Consultant
  • Sophos Firewall Sales Consultant
  • Sophos Central Sales Consultant
  • Sophos Central Engineer
  • Sophos Central Technician
  • Sophos Central Architect
  • Sophos Firewall Engineer
  • Sophos Firewall Technician
  • Sophos Firewall Architect