Einleitung
In diesem Dokument werden die Schritte zur Integration von Google Workspace (vormals G Suite) und Gmail mit Cisco Secure Email für die ein- und ausgehende E-Mail-Zustellung beschrieben. Dieses Dokument gilt für Hardware vor Ort, virtuelles Cisco Secure Email Gateway und Cisco Secure Email Cloud Gateway.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über das erforderliche Wissen und den administrativen Zugriff auf Ihre Umgebung verfügen:
- Sichere E-Mail von Cisco
- CLI-Zugriff auf Ihr Cisco Secure Email Gateway oder Cisco Secure Email Cloud Gateway
- Google Workspace und Gmail
- SMTP
- DNS
In Ihrem Begrüßungsschreiben zum Cisco Secure Email Cloud Gateway finden Sie die Host- und IP-Informationen, die Sie für das gesamte Dokument benötigen. Wenn Sie das Begrüßungsschreiben noch nicht erhalten haben oder keine Kopie davon haben, wenden Sie sich unter Angabe Ihres Namens, Ihrer Kontaktinformationen, des Firmennamens und des Domänennamens an ces-activations@cisco.com.

Der Cisco Secure Email Cloud Gateway-Host und die IP-Adressen sind für jede Zuweisung dediziert und werden nicht ohne Ankündigung geändert. Daher können Sie den zugewiesenen Host und die IP-Informationen in Ihrer Google Workspace (Gmail)-Konfiguration verwenden.
Anmerkung: Validieren Sie Konfigurationsänderungen vor einer geplanten Produktions-E-Mail-Umstellung, da die Replikation von Konfigurationsänderungen in der Google Workspace-Konsole einige Zeit in Anspruch nimmt. Warten Sie mindestens eine Stunde, bis alle Änderungen übernommen wurden.
Konfigurieren von Google Workspace (Gmail)
Eingehende E-Mails (Eingangs-Gateway) in Google Workspace (Gmail) konfigurieren
- Melden Sie sich bei Ihrer Google Admin-Konsole an (https://admin.google.com)
- Navigieren Sie zu Apps > Google Workspace.
- Klicken Sie auf Gmail
- Blättern Sie nach unten, und klicken Sie auf Spam, Phishing und Malware.
- Suchen Sie nach Inbound Gateway, zeigen Sie darauf, und klicken Sie zum Bearbeiten auf
- Geben Sie die erforderlichen Informationen ein, die Sie in Ihrem Begrüßungsschreiben angegeben haben:
- Aktivieren auswählen
- Klicken Sie für Gateway-IPs auf Hinzufügen, geben Sie alle IP-Adressen in Ihrem Begrüßungsschreiben ein, und klicken Sie auf Speichern.
- Wählen Sie Externe IP automatisch erkennen (empfohlen) aus.
- Wählen Sie Nachricht als Spam aus, wenn der folgende Header-reguläre Ausweis übereinstimmt und geben Sie x-ipas-suspiant für den regulären Ausweis ein.
-
Die Konfiguration der Nachrichtenkennzeichnung ist optional, aber empfehlenswert, da wir den Spam-Ordner in Gmail mit einem X-Header verwenden können
-
Siehe "Senden von verdächtigem Spam an den Spam-Ordner von Gmail [Optional]" weiter unten in diesem Dokument.
- Klicken Sie unten rechts in Ihrem Browser auf Speichern.
Vergleichen Sie die endgültige Konfiguration des Eingangs-Gateways in Google Workspace mit:

Hinweis: Für weitere Informationen zur Einrichtung und Fragen stellt Google die Google Workspace-Administrationshilfe bereit: https://support.google.com/a/answer/60730?hl=en
Konfigurieren eingehender E-Mails für Ihren Google Workspace (Gmail) in Cisco Secure Email
Zielsteuerelemente
Die Konfiguration einer Bereitstellungsdomäne in den Zielsteuerelementen erfordert eine Selbstdrosselung. Natürlich können Sie diese Zielkontrolle später entfernen, aber da Ihre Cisco Secure Email Gateways "neue" IPs für Google sind, möchten Sie aufgrund ihrer unbekannten Reputation keine Drosselung durch Google.
- Melden Sie sich bei Ihrem Cisco Secure Email Gateway an.
- Navigieren Sie zu Mail Policies > Destination Controls (E-Mail-Richtlinien > Zielsteuerelemente).
- Klicken Sie auf Add Destination (Ziel hinzufügen).
- Verwenden Sie folgende Werte:
- Ziel: Ihr Domänenname
- Parallele Verbindungen: Standard verwenden (500)
- Maximum Messages Per Connection (Maximale Anzahl an Nachrichten pro Verbindung): Standard verwenden (50)
- Empfänger: Maximal 20 pro 1 Minute
- TLS Support (TLS-Unterstützung): Empfohlen
- Klicken Sie auf Submit (Senden).
- Klicken Sie oben rechts auf der Benutzeroberfläche auf Änderungen bestätigen, um die Konfigurationsänderungen zu speichern.
Recipient Access Table
Legen Sie als Nächstes die Recipient Access Table (RAT) fest, um E-Mails für Ihre Domänen zu akzeptieren:
- Navigieren Sie zu Mail Policies > Recipient Access Table (RAT) (E-Mail-Richtlinien > Recipient Access Table [RAT]).
- Anmerkung: Stellen Sie sicher, dass "Overview for Listener" auf "IncomingMail" festgelegt ist, wenn mehrere Listener konfiguriert sind.
- Klicken Sie auf Add Recipient (Empfänger hinzufügen).
- Empfängeradresse: Ihr Domänenname
- Hostnamen wie "example.com", IPv4, IPv6
- Partielle Hostnamen wie ".example.com".
- Benutzernamen wie "admin@".
- Geben Sie E-Mail-Adressen wie "joe@example.com", "joe@[IPv4]" oder "joe@[IPv6]" ein.
- Trennen Sie mehrere Adressen durch Kommas.
- Aktion: Wählen Sie als Standardaktion Accept (Akzeptieren) aus.
- Klicken Sie auf Submit (Senden).
- Klicken Sie oben rechts auf der Benutzeroberfläche auf Änderungen bestätigen, um die Konfigurationsänderungen zu speichern.
SMTP-Routen
Konfigurieren Sie die SMTP-Route, um E-Mails von Ihrem bzw. Ihren Cisco Secure Email Gateway(s) an Ihre Google Workspace (Gmail)-Domäne zu senden:
- Navigieren Sie zu Network > SMTP Routes (Netzwerk > SMTP-Routen).
- Klicken Sie auf Add Route ... (Route hinzufügen).
- Receiving Domain (Empfangsdomäne): Ihr Domänenname
- Hostname: exchange.example.com
- Vollständige Domäne: example.com
- Teildomäne: .example.com
- IPv4-Adresse
- IPv6-Adresse
- Destination Hosts (Ziel-Hosts): Fügen Sie die unten bereitgestellten Google Workspace (Gmail)-Datensätze hinzu, und fügen Sie bei Bedarf weitere Zeilen hinzu.
- Klicken Sie auf Submit (Senden).
- Klicken Sie oben rechts auf der Benutzeroberfläche auf Änderungen bestätigen, um die Konfigurationsänderungen zu speichern.
Google Workspace (Gmail) Ziel-SMTP-Hosts:
Priorität
|
Ziel
|
Anschluss
|
1
|
aspmx.l.google.com
|
25
|
5
|
alt1.aspmx.l.google.com
|
25
|
5
|
alt2.aspmx.l.google.com
|
25
|
10
|
alt3.aspmx.l.google.com
|
25
|
10
|
alt2.aspmx.l.google.com
|
25
|
Konfiguration der eingehenden E-Mails abgeschlossen!
DNS-Konfiguration (MX-Eintrag)
Sie sind bereit, Ihre Domäne durch eine Änderung der Mail Exchange (MX)-Datensätze zu löschen. Wenden Sie sich zunächst an Ihren DNS-Administrator, um Ihre MX-Einträge unter den IP-Adressen Ihres bzw. Ihrer Cisco Secure Email Gateway(s) aufzulösen, wie in Ihrem Cisco Secure Email Begrüßungsschreiben angegeben.
Sobald dies abgeschlossen ist, können Sie die DNS-Änderungen in der Google Workspace-Konsole überprüfen, was Google sieht Ihre Domain MX:
- Melden Sie sich bei Ihrer Google Admin-Konsole an (https://admin.google.com)
- Navigieren Sie zu Apps > Google Workspace.
- Klicken Sie auf Gmail
- Navigieren Sie zu Setup, und klicken Sie zum Anzeigen.
- Die aktuellen MX-Datensätze, wie Google Ihre DNS- und MX-Datensätze, die mit Ihrer Domäne verknüpft sind, bereitstellt, werden angezeigt.
Anmerkung: Gewähren Sie Zeit für die Übertragung, wenn Sie die DNS-TTL Ihrer Domäne aktualisieren oder ändern.
Ausgehende E-Mails für Ihren Google Workspace (Gmail) in Cisco Secure Email konfigurieren
Sehen Sie in Ihrem Cisco Secure Email-Begrüßungsschreiben nach. Darüber hinaus wird eine sekundäre Schnittstelle für ausgehende Nachrichten über das Cisco Secure Email Gateway benötigt.
- Melden Sie sich bei Ihrem Cisco Secure Email Gateway an.
- Navigieren Sie zu Mail Policies > HAT Overview (E-Mail-Richtlinien > HAT-Übersicht).
- Anmerkung: Stellen Sie sicher, dass "Absendergruppen (Listener)" auf "Ausgehend" eingestellt ist, wenn mehrere Listener konfiguriert sind.
- Klicken Sie auf Add Sender Group... (Absendergruppe hinzufügen).
- Konfigurieren Sie die Absendergruppe als:
- Name: RELAY_MAIL
- Kommentar: Absendergruppe & Relay für Gmail
- Richtlinie: RELAYED
- Klicken Sie auf Submit and Add Senders (Senden und Absender hinzufügen).
- Sender (Absender): .google.com
- Anmerkung: Der Punkt „.“ (Punkt) am Anfang des Absender-Domänennamens erforderlich
- Beispiele für Ihre Konfiguration:
- IPv4-Adressen, Subnetze, Bereiche
- IPv6-Adressen, Subnetze, Bereiche
- Hostnamen wie example.com
- Partielle Hostnamen wie .example.com
- Klicken Sie auf Submit (Senden).
- Klicken Sie oben rechts auf der Benutzeroberfläche auf Änderungen bestätigen, um die Konfigurationsänderungen zu speichern.
Vergleichen Sie Ihre endgültige Absendergruppenkonfiguration mit:

Ausgehende E-Mails (Eingangs-Gateway) in Google Workspace (Gmail) konfigurieren
- Melden Sie sich bei Ihrer Google Admin-Konsole an (https://admin.google.com)
- Navigieren Sie zu Apps > Google Workspace.
- Klicken Sie auf Gmail
- Blättern Sie nach unten, und klicken Sie auf Routing.
- Geben Sie als Outbound-Gateway die IP-Adresse oder den Hostnamen Ihres "Outgoing Listener" oder "OutgoingMail" ein, und klicken Sie auf Save.
- Klicken Sie auf Konfigurieren für Routing.
- Konfigurieren Sie das Routing wie folgt:
- Beschreibung: "CES-GMAIL_AUTH" ein, oder geben Sie einen Namen ein, der später einfach identifiziert werden kann.
- Betroffene E-Mail-Nachrichten:
- Ausgehend
- Intern - Senden
- Für diese Arten von Nachrichten:
- Auswählen, benutzerdefinierte Header hinzufügen
- Anmerkung: Um nicht autorisierte Nachrichten über Ihr Gmail zu verhindern, wird ein geheimer x-header verwendet, wenn Nachrichten Ihre Gmail-Domäne verlassen; Dieser Header wird dann von Cisco Secure Email ausgewertet und vor der Übermittlung an das Internet entfernt.
- Klicken Sie auf Hinzufügen, und geben Sie Folgendes ein: X-OUTBOUND-AUTH, mysecretkey
- Ersetzen Sie "mysecretkey" durch einen Schlüssel Ihrer Wahl. wird im nächsten Abschnitt verwendet.
- Klicken Sie auf Save (Speichern).
Vergleichen Sie Ihre Routing- und Outbound-Gateway-Konfiguration mit:

Fahren Sie mit der Konfiguration Ihres Setups für ausgehende E-Mails fort, und greifen Sie auf die CLI für das Cisco Secure Email Gateway zu.
Hinweis: Cisco Secure Email Cloud Gateway? Klicken Sie hier, um weitere Informationen zum CLI-Zugriff zu erhalten.
Erstellen Sie einen Nachrichtenfilter, um ausgehende Nachrichten auf den Header und Wert des X-Headers zu überprüfen, den wir gerade mithilfe der Google Workspace (Gmail)-Konfiguration erstellt haben. Dieser Nachrichtenfilter entfernt auch den Header, wenn er existiert. Der Nachrichtenfilter verwirft die über das Gateway verarbeitete ausgehende Nachricht, wenn der Header nicht vorhanden ist.
- Melden Sie sich bei Ihrem Cisco Secure Email Gateway an.
- Führen Sie den Befehl Filters aus.
- Da alle Cisco Secure Email Cloud-Gateways geclustert sind, klicken Sie auf Return, um die Filter im Cluster-Modus zu bearbeiten.
- Verwenden Sie den Vorgang Neu, um einen Nachrichtenfilter zu erstellen, kopieren Sie dann den bereitgestellten Code, und fügen Sie ihn ein:
gmail_outbound: if sendergroup == "RELAY_GMAIL" {
if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
strip-header("X-OUTBOUND-AUTH");
} else {
drop();
}
}
- Stellen Sie sicher, dass Sie den "mysecretkey" mit dem Schlüssel Ihrer Wahl im vorherigen Abschnitt bearbeiten, mit "^" (Anfang der Zeichenfolge) und "$" (Ende der Zeichenfolge) für Ihre reguläre Zeichenfolge.
- Drücken Sie einmal die Eingabetaste, um eine neue, leere Zeile zu erstellen.
- Geben Sie einen Punkt (.) (Punkt) in der neuen Zeile, um den Filter für die neue Nachricht zu aktivieren.
- Drücken Sie die Eingabetaste einmal, um das Filtermenü zu verlassen.
- Führen Sie den Commit-Befehl aus, um die Änderungen an Ihrer Konfiguration zu speichern.
Konfiguration der ausgehenden E-Mails abgeschlossen!
Ausgehende E-Mails testen
Verfassen Sie eine ausgehende Nachricht von Ihrer von Gmail verwalteten E-Mail-Adresse und senden Sie sie an einen externen Domänenempfänger. Anschließend können Sie die Nachrichtenverfolgung überprüfen, um sicherzustellen, dass der ausgehende Anruf ordnungsgemäß weitergeleitet wurde.
Beispiel für eine Nachricht, bei der der X-Header nicht übereinstimmt:

Beispiel einer Nachricht mit erfolgreicher Zustellung:

Internes E-Mail-Routing ohne Cisco Secure Email Scanning [optional]
Wenn Sie das Routing von Benutzer zu Benutzer innerhalb von Google Workspace (Gmail) beibehalten möchten [optional, aber von Cisco empfohlen], befolgen Sie die folgenden Anweisungen:
- Melden Sie sich bei Ihrer Google Admin-Konsole an (https://admin.google.com)
- Navigieren Sie zu Apps > Google Workspace.
- Klicken Sie auf Gmail
- Klicken Sie auf Hosts.
- Klicken Sie auf Route hinzufügen.
- Pop-Up "Add mail route" (Mail-Route hinzufügen):
- Oberste Zeile: "Internes Routing ohne CES-Scanning", oder geben Sie einen Namen ein, der später einfach identifiziert werden kann.
- E-Mail-Server angeben: Mehrere Hosts
- Primary: aspmx.l.google.com, (Port) 25, (Last %) 100
- Sekundär: alt1.aspmx.l.google.com, alt2.aspmx.l.google.com, (Port) 25, (Load%) 50
- Optionen:
- Deaktivieren Sie Zertifikat mit CA-Signatur erforderlich (empfohlen).
- Klicken Sie auf Save (Speichern).
- Klicken Sie im Hauptabschnitt Hosts auf Speichern
Weiter:
- Klicken Sie auf Einstellungen für Gmail
- Blättern Sie nach unten, und klicken Sie auf Routing.
- Klicken Sie im Abschnitt "Routing" auf Andere Regel hinzufügen
- Pop-Up "Add mail route" (Mail-Route hinzufügen):
- Oberste Zeile: "Internes Routing ohne CES-Scanning", oder geben Sie einen Namen ein, der später einfach identifiziert werden kann.
- Betroffene E-Mail-Nachrichten: Intern - Senden
- Für diese Arten von Nachrichten:
- Als Nachricht ändern lassen
- Wählen Sie als Route: Route ändern und auch Spam umleiten
- Klicken Sie auf Optionen anzeigen, und führen Sie einen Bildlauf nach unten durch
- Für "B. Zu beeinflussender Kontotyp": Benutzer und Gruppen
- Für "C. Umschlagfilter": Nur bestimmte Umschlagabsender auswählen
- Musterzuordnung auswählen
- Für Regexp: * Ihre_Domäne
- Anmerkung: Der Punkt „.“ (Punkt) und "*" (Sternchen) am Anfang des Domain-Namens erforderlich ist
- Klicken Sie auf Save (Speichern).
Testen der internen Weiterleitung von E-Mails Senden Sie eine E-Mail an einen anderen Empfänger mit dem identischen internen E-Mail-Domänennamen.
E-Mail-Zustellung testen und validieren
Verfassen Sie eine Nachricht an Ihre von Gmail verwaltete E-Mail-Adresse. Dann überprüfen Sie, um zu sehen, dass es in Ihrem Gmail-verwalteten E-Mail-Posteingang ankommt.
Validieren Sie anschließend die Nachrichtenübermittlung in Message Tracking (Nachrichtenverfolgung) in Cisco Secure Email.
- Melden Sie sich bei Ihrem Gateway an (z. B. https://dhXXYY-esa1.iphmx.com/ng-login) oder wenn Sie über einen Cisco Secure Manager verfügen (z. B. https://dhXXYY-sma1.iphmx.com/ng-login)
- Klicken Sie auf Tracking (Nachverfolgung).
- Geben Sie die Suchkriterien für die Nachrichteninformationen ein (Betreff, Umschlagempfänger), und klicken Sie auf Suchen. Die Suchergebnisse sehen ähnlich aus:

E-Mail-Protokolle in Google Workspace (Gmail) anzeigen:
- Melden Sie sich bei der G Suite Admin-Konsole an (https://admin.google.com)
- Navigieren zu Berichten
- Blättern Sie nach unten, und wählen Sie im rechten Menü die Option E-Mail-Protokollsuche aus.
- Geben Sie die erforderlichen Suchkriterien ein, und klicken Sie auf Suchen. Die Ergebnisse sehen ähnlich aus:

Spam-verdächtig an Spam-Ordner von Gmail senden [Optional]
Wenn Sie Cisco Secure Email verwenden möchten, um Spam-verdächtige Nachrichten an den Spam-Ordner in Gmail zu senden:
- Melden Sie sich bei Ihrem Cisco Secure Email Gateway an.
- Navigieren Sie zu Mail-Policys > Mail-Policys für \"Eingehend\"
- Wählen Sie als Richtliniennamen Anti-Spam aus, oder verwenden Sie die Standardrichtlinie.
- Klicken Sie auf Erweitert, um Einstellungen für Spam-verdächtig zu erhalten.
- Fügen Sie für "Benutzerdefinierten Header hinzufügen" (optional) "x-ipas-suspiant" ein.
- Anmerkung: Dies kann auch für die Einstellungen für Spam-positiv konfiguriert werden, wenn Sie Spam nicht über das Cisco Secure Email Gateway löschen/in Quarantäne verschieben möchten.
Vergleichen Sie die endgültigen Anti-Spam-Einstellungen für Spam-verdächtig mit:

Suchen Sie in Ihrer von Google Mail verwalteten E-Mail nach "in:spam", oder suchen Sie in Ihrer E-Mail-Anwendung im Spam-Ordner.
Zugehörige Informationen
Technischer Support und Dokumentation für Cisco Systeme