Ich gehe davon aus, dass dir die Lösungskonzepte und Leistungsmerkmale von der Firma Sophos bekannt sind, da du ja konzeptionell richtig denkst. Ich stimme dir auch in der hinsicht zu, dass man sich kein künstliches Nadelöhr selbst verpassen sollte. Ich vermute auch, dass wir uns diesbezüglich missverstanden haben, wo die Prüfung stattfinden sollte. Das primäre Gateway sollte dies defintiv nicht tun, auch wenn es zuverlässige Lösungen auch hierzu gibt.
Ich kalkuliere in solchen konzepten immer eine DMZ ein.
Bei einem 10 Mann-Unternehmen läßt sich das technisch genauso zuverlässig und performant abbilden, wie bei einem 1000 Mann Unternehmen. Die Anlagen müssen dann nur vom Leistungsgrad größer ausgelegt werden und vorzugsweise leitet man den zu prüfenden Mail Verkehr dann auf ein seperates System weiter. Aber, vom Grundsatz würde ich den eingehenden Mailverkehr immer von einer "Blackbox" prüfen lassen, jedoch nicht vom ersten Gateway.