設定Google工作區(Gmail)
目錄
簡介
本文檔介紹Google Workspace(以前稱為G Suite)和Gmail與Cisco Secure Email整合以實現入站和出站郵件傳送的步驟。本文檔適用於本地硬體、虛擬思科安全郵件網關和思科安全郵件雲網關。
必要條件
需求
思科建議您擁有對環境的知識和管理訪問許可權:
- 思科安全電子郵件
- 透過CLI訪問您的思科安全郵件網關或思科安全郵件雲網關環境
- 思科安全電子郵件雲網關?按一下此處瞭解有關CLI訪問的更多資訊
- Google Workspace和Gmail
- SMTP
- DNS
對於Cisco Secure Email Cloud Gateway,歡迎函包括本文檔中需要的主機和IP資訊。如果您尚未收到或沒有歡迎信的副本,請聯絡ces-activations@cisco.com,並提供您的姓名、聯絡資訊、公司名稱和域名。
思科安全郵件雲網關主機和IP地址是每個分配的專用地址,在更改時不發出通知。因此,您可以在Google Workspace (Gmail)配置中使用分配的主機和IP資訊。
設定Google工作區(Gmail)
在Google Workspace (Gmail)中配置入站郵件(入站網關)
- 登入您的Google管理控制檯(https://admin.google.com)
- 導航到應用> Google工作區
- 點選Gmail
- 向下滾動並按一下Spam, Phishing, and Malware
- 查詢入站網關,將滑鼠懸停在它上方,然後點選進行編輯
- 根據您的歡迎信中的資訊輸入所需的資訊:
- 選擇啟用
- 對於網關IP,請點選增加,輸入歡迎信中的所有IP地址,然後點選「儲存」。
- 選擇自動檢測外部IP(推薦)
- 選擇如果以下報頭regexp匹配,則將郵件視為垃圾郵件,並為Regexp輸入x-ipas-suspect
-
郵件標籤的配置是可選的,但建議使用,因為我們可以使用Gmail中的垃圾郵件資料夾和x信頭
-
請參閱本文檔後面的「將可疑垃圾郵件傳送到Gmail垃圾郵件資料夾[可選]」
-
- 按一下瀏覽器右下角的Save
將您在Google Workspace中的最終入站網關配置與:
在Cisco Secure Email中為Google Workspace (Gmail)配置入站郵件
目的地控制
在目的地控制項中設定傳遞網域會強制自我節流。當然,您可以稍後刪除此目標控制,但由於您的Cisco安全電子郵件網關是Google的「新」IP,因此由於信譽未知,您不希望Google對其進行任何限制。
- 登入思科安全郵件網關
- 導覽至「郵件原則」>「目的地控制」
- 按一下「新增目的地」
- 使用以下值:
- 目的地:您的網域名稱
- 併發連線:使用預設值(500)
- 每個連線的最大消息數:使用預設值(50)
- 收件人:每1分鐘最多20個
- TLS支援:首選
- 點選提交
- 按一下UI右上角的Commit Changes以儲存您的配置更改。
收件者存取表
接著,設定網域的收件人存取表 (RAT) 以接受郵件:
- 導覽至「郵件原則」>「收件人存取表 (RAT)」
- 注意:如果已配置多個監聽程式,請確保將「監聽程式概覽」設定為IncomingMail
- 按一下「新增收件人」
- 收件人地址:您的域名
- 主機名,例如「example.com」、IPv4、IPv6
- 部分主機名,例如「.example.com」。
- 使用者名稱,例如「admin@」。
- 完整的電子郵件地址,例如「joe@example.com」、「joe@[IPv4]」或「joe@[IPv6]」
- 用逗號分隔多個地址
- 動作:選取預設動作接受
- 點選提交
- 按一下UI右上角的Commit Changes以儲存您的配置更改。
SMTP 路由
配置SMTP路由以將郵件從您的Cisco Secure Email網關傳遞到Google Workspace (Gmail)域:
- 導覽至「網路」>「SMTP 路由」
- 按一下「新增路由...」
- 接收域:您的域名
- 主機名:exchange.example.com
- 完整網域: example.com
- 部分域:.example.com
- IPv4地址
- IPv6地址
- 目標主機:增加下面提供的Google Workspace (Gmail)記錄,並根據需要增加其他行
- 點選提交
- 按一下UI右上角的Commit Changes以儲存您的配置更改。
Google Workspace (Gmail)目標SMTP主機:
| 優先順序機制 |
目的地 |
連接埠 |
| 1 |
aspmx.l.google.com |
25 |
| 5 |
alt1.aspmx.l.google.com |
25 |
| 5 |
alt2.aspmx.l.google.com |
25 |
| 10 |
alt3.aspmx.l.google.com |
25 |
| 10 |
alt2.aspmx.l.google.com |
25 |
入站郵件配置已完成!
DNS(MX 記錄)組態
您已經準備好透過郵件交換(MX)記錄更改來剪下您的域。首先,與您的DNS管理員合作,根據您的Cisco Secure Email歡迎信中提供的資訊,將MX記錄解析為Cisco Secure Email Gateway的IP地址。
完成後,您可以在Google Workspace控制檯中驗證DNS更改,以瞭解Google看到的域MX:
- 登入您的Google管理控制檯(https://admin.google.com)
- 導航到應用> Google工作區
- 點選Gmail
- 滾動到Setup,然後按一下檢視
- 將顯示當前的MX記錄,即Google如何提供與您的域相關聯的DNS和MX記錄。
在Cisco Secure Email中為Google Workspace (Gmail)配置出站郵件
請參閱 Cisco Secure Email 歡迎信。此外,透過Cisco Secure Email Gateway的出站郵件需要輔助介面。
- 登入思科安全郵件網關
- 導覽至「郵件原則」>「HAT 概觀」
- 注意:如果配置了多個監聽程式,請確保「傳送方組(監聽程式)」設定為傳出
- 按一下「新增寄件者群組...」
- 將寄件者群組設為:
- 名稱:RELAY_GMAIL
- 備註:Gmail的寄件者群組與轉送
- 策略:已中繼
- 按一下「提交並新增寄件者」
- 發件人: .google.com
- 注意:傳送方域名開頭的「。」(點)是必需的
- 配置示例:
- IPv4地址、子網、範圍
- IPv6地址、子網、範圍
- 主機名,例如example.com
- 部分主機名,例如.example.com
- 點選提交
- 按一下UI右上角的Commit Changes以儲存您的配置更改。
將您的最終發件人組配置與:
在Google Workspace (Gmail)中配置出站郵件(入站網關)
- 登入您的Google管理控制檯(https://admin.google.com)
- 導航到應用> Google工作區
- 點選Gmail
- 向下滾動並按一下Routing
- 對於Outbound gateway,輸入「Outgoing Listener」或「OutgoingMail」的IP地址或主機名,然後按一下Save
- 按一下Configure for Routing
- 按如下所示配置路由:
- 描述:「CES-GMAIL_AUTH」,或輸入稍後可輕易辨識的名稱
- 要影響的電子郵件:
- 出站
- 內部-傳送
- 對於這些型別的訊息:
- 選取,新增自訂標頭
- 注意:為了防止透過Gmail傳送未經授權的郵件,在郵件離開Gmail域時會使用密碼x信頭;然後,思科安全電子郵件會評估此信頭,並在將其傳送到網際網路之前將其刪除
- 按一下Add並輸入:X-OUTBOUND-AUTH、mysecretkey
- 使用您選擇的金鑰替換「mysecretkey」;這將在下一部分中使用。
- 點選儲存
- 選取,新增自訂標頭
- 按如下所示配置路由:
將您的路由和出站網關配置與:
繼續配置出站郵件設定,並訪問思科安全郵件網關的CLI。
建立郵件過濾器以檢查出站郵件,檢視我們剛從Google Workspace (Gmail)配置建立的x-header的標題和值。此郵件過濾器還會刪除存在信頭的信頭。如果報頭不存在,郵件過濾器將丟棄透過網關處理的出站郵件。
- 登入思科安全郵件網關
- 執行 Filters 命令
- 當所有思科安全郵件雲網關都已集群時,點選return以在「集群」模式下編輯過濾器
- 使用New操作建立郵件過濾器,然後複製並貼上提供的代碼:
gmail_outbound: if sendergroup == "RELAY_GMAIL" { if header("X-OUTBOUND-AUTH") == "^mysecretkey$" { strip-header("X-OUTBOUND-AUTH"); } else { drop(); } } - 請確保在上一節中使用您選擇的金鑰編輯「mysecretkey」,並為您的regex字串使用「^」(字串開頭)和「$」(字串結尾)
- 點擊返回一次,以建立新的空白行
- 在要結束的新行上輸入「。」(句點)以製作新的郵件過濾器
- 點擊返回一次,以退出「篩選器」功能表
- 執行 Commit 命令,以儲存組態變更
出站郵件配置已完成!
測試出站電子郵件
從您的Gmail管理電子郵件地址撰寫出站郵件並傳送給外部域收件人。然後,您可以檢視郵件跟蹤,確保郵件已正確路由到出站。
x報頭不匹配的消息示例:
成功傳遞的訊息範例:
不進行思科安全電子郵件掃描的內部電子郵件路由[可選]
如果您希望保持使用者到使用者路由在Google Workspace (Gmail)內部[可選,但思科推薦],請遵循以下說明:
- 登入您的Google管理控制檯(https://admin.google.com)
- 導航到應用> Google工作區
- 點選Gmail
- 點選主機
- 點選增加路由
- 對於「增加郵件路由」彈出窗口:
- 頂行:「Internal routing without CES scanning」或輸入稍後易於辨識的名稱
- 指定電子郵件伺服器:多個主機
- 主要: aspmx.l.google.com、(連線埠) 25、(載入%) 100
- 輔助:alt1.aspmx.l.google.com、alt2.aspmx.l.google.com、(埠) 25、(負載%) 50
- 選項:
- 取消選中需要CA簽名證書(推薦)
- 點選儲存
- 在主「主機」部分上按一下儲存
下一頁:
- 點選Gmail設定
- 向下滾動並按一下Routing
- 在Routing部分中,按一下Add Another Rule
- 對於「增加郵件路由」彈出窗口:
- 頂行:「Internal routing without CES scanning」或輸入稍後易於辨識的名稱
- 要影響的電子郵件:內部-傳送
- 對於這些型別的訊息:
- 保留為修改消息
- 對於路由,選擇:更改路由和同時重新路由垃圾郵件
- 按一下Show options並向下滾動
- 對於「B.要影響的帳戶型別」:使用者和組
- 對於「C.信封過濾器」:選擇僅影響特定信封發件人
- 選擇模式匹配
- 對於Regexp: .*your_domain
- 注意:域名開頭的「。」(點)和「*」(星號)是必需的
- 點選儲存
測試內部路由郵件。使用相同的內部電子郵件網域名稱,將電子郵件傳送給其他收件者。
測試並驗證電子郵件傳送
撰寫訊息並傳送至您的Gmail管理電子郵件地址。然後,檢查它是否到達您的Gmail管理電子郵件收件箱。
然後,在Cisco Secure Email的Message Tracking中驗證郵件傳送。
- 登入網關(例如https://dhXXYY-esa1.iphmx.com/ng-login),或者如果使用Cisco Secure Manager(例如https://dhXXYY-sma1.iphmx.com/ng-login)
- 按一下「追蹤」
- 輸入郵件資訊搜尋條件(主題、信封收件人),然後按一下搜尋;返回的搜尋結果類似於:
若要在Google Workspace (Gmail)中檢視郵件記錄:
- 登入到G Suite管理控制檯(https://admin.google.com)
- 導航至報告
- 向下滾動,然後在右側選單中選擇Email Log Search
- 輸入所需的搜尋條件,然後按一下搜尋;結果類似於:
將可疑垃圾郵件傳送到Gmail垃圾郵件資料夾[可選]
如果您希望使用思科安全電子郵件將可疑垃圾郵件傳送到Gmail中的垃圾郵件資料夾:
- 登入思科安全郵件網關
- 導航到郵件策略>傳入郵件策略
- 為策略名稱選擇Anti-Spam或使用「Default Policy」。
- 對於可疑的垃圾郵件設定,按一下Advanced
- 對於增加自定義報頭(可選),插入x-ipas-suspect
- 注意:如果您不想透過思科安全郵件網關丟棄/隔離垃圾郵件,還可以將此設定配置為已正確辨識的垃圾郵件設定
將您針對可疑垃圾郵件設定的最終反垃圾郵件設定與:
在受Gmail管理的電子郵件中,搜尋「in:spam」或檢視電子郵件應用程式中的垃圾郵件資料夾。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
4.0 |
13-Jul-2022 |
更新不正確的熒幕擷取畫面、次要措辭,以及額外的內容更正,以清楚說明。 |
1.0 |
09-Aug-2019 |
初始版本 |
意見