Configuración de Google Workspace (Gmail)

Introducción

Este documento describe los pasos para la integración de Google Workspace (anteriormente conocido como G Suite) y Gmail con Cisco Secure Email para la entrega de correo electrónico entrante y saliente. Este documento se aplica al hardware in situ, Cisco Secure Email Gateway virtual y Cisco Secure Email Cloud Gateway.

Prerequisites

Requirements

Cisco recomienda que disponga de los conocimientos y el acceso administrativo necesarios para su entorno:

• Cisco Secure Email
• Acceso CLI a su entorno de Cisco Secure Email Gateway o Cisco Secure Email Cloud Gateway
  • ¿Cisco Secure Email Cloud Gateway? Haga clic aquí para obtener más información sobre el acceso CLI
• Google Workspace y Gmail
• SMTP
• DNS

En el caso de Cisco Secure Email Cloud Gateway, la carta de bienvenida incluye la información de host e IP necesaria en este documento. Si no ha recibido o no tiene una copia de la carta de bienvenida, póngase en contacto con ces-activations@cisco.com con su nombre, información de contacto, nombre de la empresa y nombre de dominio.

El host y las direcciones IP de Cisco Secure Email Cloud Gateway están dedicados a cada asignación y no se cambian sin notificación. Por lo tanto, puede utilizar la información de host e IP asignada en la configuración de Google Workspace (Gmail).

Nota: Valide los cambios de configuración antes de realizar cualquier cambio planificado del correo de producción, ya que los cambios de configuración tardan en replicarse en la consola de Google Workspace. Como mínimo, espere 1 hora para que todos los cambios surtan efecto.

Configuración de Google Workspace (Gmail)

Configuración del correo entrante (gateway entrante) en Google Workspace (Gmail)

1. Inicie sesión en la consola de administración de Google (https://admin.google.com)
2. Vaya a Aplicaciones > Google Workspace
3. Haga clic en Gmail
4. Desplácese hacia abajo y haga clic en Spam, Phishing y Malware
5. Busque Gateway entrante, sitúe el cursor sobre él y haga clic para editar
6. Introduzca la información según sea necesario proporcionada a partir de la información de la carta de bienvenida:
   1. Seleccione Activar
   2. Para las direcciones IP de las puertas de enlace, haga clic en Agregar, introduzca todas las direcciones IP en la carta de bienvenida y haga clic en Guardar.
   3. Seleccione Detectar automáticamente IP externa (recomendado)
   4. Seleccione El mensaje se considera spam si el siguiente encabezado regexp coincide e ingrese x-ipas-suspect para Regexp

      • La configuración para el etiquetado de mensajes es opcional pero se recomienda, ya que podemos hacer uso de la carpeta Spam en Gmail con un x-encabezado

      • Consulte "Enviar spam sospechoso a la carpeta de spam de Gmail [Opcional]", más adelante en este documento

   5. Haga clic en Guardar en la esquina inferior derecha del navegador

Compare la configuración final de la puerta de enlace entrante en Google Workspace con:

Nota: Para obtener información adicional sobre la configuración y las preguntas, Google proporciona la ayuda de administración de Google Workspace: https://support.google.com/a/answer/60730?hl=en

Configuración del correo entrante para Google Workspace (Gmail) en Cisco Secure Email

Controles de destino

La configuración de un dominio de entrega en los controles de destino impone un autoacelerador. Por supuesto, puede eliminar este control de destino más adelante, pero dado que los gateways de Cisco Secure Email son "nuevas" IP para Google, no desea que Google limite su uso debido a su reputación desconocida.

1. Inicie sesión en Cisco Secure Email Gateway.
2. Vaya a Políticas de correo > Controles de destino
3. Haga clic en Agregar destino
4. Utilice estos valores:
   1. Destino: Su nombre de dominio
   2. Conexiones simultáneas: Utilizar valor predeterminado (500)
   3. Cantidad máxima de mensajes por conexión: Utilizar valor predeterminado (50)
   4. Destinatarios: Máximo de 20 por 1 minuto
   5. Compatibilidad con TLS: Recomendado
5. Haga clic en Submit (Enviar)
6. Haga clic en Registrar cambios en la parte superior derecha de la interfaz de usuario para guardar los cambios de configuración.

Tabla de acceso de destinatarios

A continuación, defina la tabla de acceso de destinatarios (RAT) para que acepte el correo de sus dominios:

1. Vaya a Políticas de correo > Tabla de acceso de destinatarios (RAT)
   • Nota: Asegúrese de que la "Descripción General para Listener" esté configurada como Correo Entrante si tiene varios Listeners configurados
2. Haga clic en Agregar destinatario
3. Dirección de destinatario: Su nombre de dominio
   • Nombres de host como "example.com", IPv4, IPv6
   • Nombres de host parciales como ".example.com."
   • Nombres de usuario como "admin@".
   • Direcciones de correo electrónico completas como "joe@example.com", "joe@[IPv4]" o "joe@[IPv6]"
   • Separe las distintas direcciones con comas
4. Acción: Seleccione la acción predeterminada Aceptar
5. Haga clic en Submit (Enviar)
6. Haga clic en Registrar cambios en la parte superior derecha de la interfaz de usuario para guardar los cambios de configuración.    

Rutas SMTP

Configure la ruta SMTP para enviar correo desde sus gateways de Cisco Secure Email a su dominio de Google Workspace (Gmail):

1. Vaya a Red > Rutas SMTP.
2. Haga clic en Agregar ruta...
3. Dominio de recepción: Su nombre de dominio
   • Hostname: exchange.example.com
   • Dominio completo: example.com
   • Dominio parcial: .example.com
   • Dirección IPv4
   • Dirección IPv6
4. Hosts de destino: agregue los registros de Google Workspace (Gmail) que se proporcionan a continuación y agregue filas adicionales según sea necesario
5. Haga clic en Submit (Enviar)
6. Haga clic en Registrar cambios en la parte superior derecha de la interfaz de usuario para guardar los cambios de configuración. 

Hosts SMTP de destino de Google Workspace (Gmail):

La configuración del correo entrante ha finalizado.

Configuración de DNS (registro MX)

Está listo para cortar el dominio mediante un cambio de registro de intercambio de correo (MX). En primer lugar, póngase en contacto con el administrador de DNS para resolver los registros MX en las direcciones IP de los gateways de correo electrónico seguros de Cisco, tal y como se indica en la carta de bienvenida de Cisco Secure Email.

Una vez que se haya completado, puede verificar los cambios de DNS en la consola de Google Workspace en cuanto a lo que Google ve en su dominio MX:

1. Inicie sesión en la consola de administración de Google (https://admin.google.com)
2. Vaya a Aplicaciones > Google Workspace
3. Haga clic en Gmail
4. Desplácese hasta Setup y haga clic para ver
5. Se muestran los registros MX actuales, cómo Google proporciona sus registros DNS y MX asociados con su dominio.

          

Nota: Deje tiempo para la propagación si actualiza o cambia su dominio DNS TTL.

Configuración del correo saliente para Google Workspace (Gmail) en Cisco Secure Email

Consulte su carta de bienvenida de Cisco Secure Email. Además, se necesita una interfaz secundaria para los mensajes salientes a través de Cisco Secure Email Gateway.

1. Inicie sesión en Cisco Secure Email Gateway.
2. Vaya a Políticas de correo > Descripción general de HAT.
   • Nota: Asegúrese de que "Sender Groups (Listener)" esté configurado como Outgoing si tiene varios receptores configurados
3. Haga clic en Agregar grupo de remitente...
4. Configure el grupo emisor como:
   1. Nombre: RELAY_GMAIL
   2. Comentario: Sender Group & Relay for Gmail
   3. Política: RETRANSMITIDO
   4. Haga clic en Enviar y agregar remitentes
   5. Remitente: .google.com
      • Nota: El "." (punto) al principio del nombre de dominio del remitente es obligatorio
      • Ejemplos de su configuración:
        • Direcciones IPv4, subredes e intervalos
        • Direcciones IPv6, subredes e intervalos
        • Nombres de host como example.com
        • Nombres de host parciales como .example.com
   6. Haga clic en Submit (Enviar)
   7. Haga clic en Registrar cambios en la parte superior derecha de la interfaz de usuario para guardar los cambios de configuración. 

Compare su configuración final de Grupo de Remitentes con:

Configurar correo saliente (puerta de enlace entrante) en Google Workspace (Gmail)

1. Inicie sesión en la consola de administración de Google (https://admin.google.com)
2. Vaya a Aplicaciones > Google Workspace
3. Haga clic en Gmail
4. Desplácese hacia abajo y haga clic en Routing .
5. Para el gateway de salida, introduzca la dirección IP o el nombre de host de su "Receptor saliente" o "Correo saliente" y haga clic en Guardar
6. Haga clic en Configurar para enrutamiento
   • Configure el routing de la siguiente manera:
     1. Descripción: "CES-GMAIL_AUTH" o introduzca un nombre que se pueda identificar fácilmente más adelante
     2. Mensajes de correo electrónico que afectan a:
        • Salientes
        • Interno - Enviando
     3. Para estos tipos de mensajes:
        • Seleccionar, Agregar encabezados personalizados
          • Nota: Para evitar mensajes no autorizados a través de su Gmail, se utiliza un x-encabezado secreto cuando los mensajes salen de su dominio de Gmail; Cisco Secure Email evalúa este encabezado y lo elimina antes de enviarlo a Internet
        • Haga clic en Agregar e ingrese: X-OUTBOUND-AUTH, mysecretkey
          • Sustituya "mysecretkey" por una clave de su elección; esto se utiliza en la siguiente sección.
        • Haga clic en Save (Guardar).

Compare la configuración del gateway de enrutamiento y de salida con:

Continúe con la configuración de su configuración de correo saliente y acceda a la CLI de su gateway de Cisco Secure Email.

Nota: ¿Cisco Secure Email Cloud Gateway? Haga clic aquí para obtener más información sobre el acceso CLI.

Cree un filtro de mensajes para inspeccionar los mensajes salientes en busca del encabezado y el valor del x-encabezado que acabamos de crear en la configuración de Google Workspace (Gmail). Este filtro de mensaje también quita el encabezado cuando existe. El filtro de mensajes descarta el mensaje saliente procesado a través de la puerta de enlace si el encabezado no está presente.

1. Inicie sesión en Cisco Secure Email Gateway.
2. Ejecute el comando Filtros
3. Dado que todos los gateways de Cisco Secure Email Cloud están agrupados en clústeres, pulse Volver para editar los filtros en modo "Clúster"
4. Utilice la operación New para crear un filtro de mensajes y, a continuación, copie y pegue el código proporcionado:

   gmail_outbound: if sendergroup == "RELAY_GMAIL" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }​

5. Asegúrese de editar la "mysecretkey" con la clave que elija en la sección anterior, con "^" (inicio de la cadena) y "$" (final de la cadena) para la cadena regex
6. Presione Volver una vez para crear una nueva línea en blanco
7. Ingrese "." (punto) en la nueva línea hasta el final para que el nuevo filtro de mensajes
8. Haga clic en Volver una vez para salir del menú Filtros.
9. Ejecute el comando Confirmar para guardar los cambios en su configuración

La configuración del correo saliente ha finalizado.

Probar correo electrónico saliente

Redacte y envíe un mensaje saliente desde su dirección de correo electrónico administrada por Gmail a un destinatario de dominio externo. A continuación, puede revisar el Rastreo de mensajes para asegurarse de que se ha enrutado correctamente.

Ejemplo de un mensaje donde el x-encabezado no coincide:

Ejemplo de un mensaje con entrega exitosa:

Routing de correo electrónico interno sin Cisco Secure Email Scanning [opcional]

Si desea mantener el enrutamiento de usuario a usuario en Google Workspace (Gmail) [Opcional, pero se recomienda Cisco], siga estas instrucciones:

1. Inicie sesión en la consola de administración de Google (https://admin.google.com)
2. Vaya a Aplicaciones > Google Workspace
3. Haga clic en Gmail
4. Haga clic en Hosts
5. Haga clic en Agregar ruta
6. Para la ventana emergente "Agregar ruta de correo": 
   1. Línea superior: "Routing interno sin análisis CES" o introduzca un nombre que se identifique fácilmente más adelante
   2. Especificar servidor de correo electrónico: Varios hosts
      • Principal: aspmx.l.google.com, (puerto) 25, (carga %) 100
      • Secundario: alt1.aspmx.l.google.com, alt2.aspmx.l.google.com, (puerto) 25, (Load%) 50
   3. Opciones:
      • Desactivar Requerir certificado firmado por CA (recomendado)
   4. Haga clic en Save (Guardar).
7. Haga clic en Guardar en la sección Hosts principal

Siguiente:

1. Haga clic en Configuración para Gmail
2. Desplácese hacia abajo y haga clic en Routing .
3. En la sección Routing, haga clic en Add Another Rule .
4. Para la ventana emergente "Agregar ruta de correo":
   1. Línea superior: "Routing interno sin análisis CES" o introduzca un nombre que se identifique fácilmente más adelante
   2. Mensajes de correo electrónico que afectarán a: Interno - Envío
   3. Para estos tipos de mensajes:
      • Dejar como Modificar mensaje
      • Para Ruta, seleccione: Cambiar ruta y también volver a enrutar spam
   4. Haga clic en Mostrar opciones y desplácese hacia abajo
   5. En lugar de "B. Tipo de cuenta a afectar": Usuarios y grupos
   6. Para "C. Filtro de envolvente": Seleccione Afectar sólo a remitentes de sobres específicos
      • Seleccionar coincidencia de patrón
      • Para Regexp: .*su_dominio
        • Nota: El "." (punto) y "*" (asterisco) al principio del nombre de dominio son obligatorios
   7. Haga clic en Save (Guardar).

Pruebe el correo de enrutamiento interno. Enviar un correo electrónico a otro destinatario con el mismo nombre de dominio de correo electrónico interno.

Prueba y validación de la entrega de correo electrónico

Redacte y envíe un mensaje a su dirección de correo electrónico gestionada por Gmail. A continuación, compruebe que llega a la bandeja de entrada de correo electrónico de Gmail.

A continuación, valide la entrega del mensaje en Rastreo de mensajes dentro de Cisco Secure Email.

1. Inicie sesión en la puerta de enlace (p. ej. https://dhXXYY-esa1.iphmx.com/ng-login), o si dispone de un Cisco Secure Manager (por ejemplo, https://dhXXYY-sma1.iphmx.com/ng-login)
2. Haga clic en Seguimiento de clics
3. Introduzca los criterios de búsqueda de la información del mensaje (asunto, destinatario del sobre) y haga clic en Buscar; los resultados de la búsqueda devueltos son similares a:

Para ver registros de correo en Google Workspace (Gmail):

1. Inicie sesión en la consola de administración de G Suite (https://admin.google.com)
2. Vaya a Informes
3. Desplácese hacia abajo y, en el menú de la derecha, seleccione Búsqueda en registro de correo electrónico
4. Introduzca los criterios de búsqueda necesarios y haga clic en Buscar; los resultados son similares a:

Enviar spam sospechoso a la carpeta de spam de Gmail [Opcional]

Si desea utilizar Cisco Secure Email para enviar el spam sospechoso a la carpeta Spam en Gmail:

1. Inicie sesión en Cisco Secure Email Gateway.
2. Vaya a Políticas de correo > Políticas de correo entrante
3. Seleccione Anti-Spam para el nombre de directiva o utilice la "Directiva predeterminada".
4. Haga clic en Avanzado para Configuración de Spam Sospechoso
5. Para Add Custom Header (opcional), inserte x-ipas-suspect
   • Nota: También se puede configurar para la configuración de spam identificado positivamente si no desea eliminar/poner en cuarentena el spam a través de Cisco Secure Email Gateway

Compare los parámetros finales de Anti-Spam para Spam sospechoso con:

En el correo electrónico gestionado por Gmail, busque "in:spam" o busque en la carpeta Spam de su aplicación de correo electrónico.

Información Relacionada

Soporte Técnico y Documentación - Cisco Systems