Configurer Google Workspace (Gmail)

Introduction

Ce document décrit les étapes de l'intégration de Google Workspace (précédemment connu sous le nom de G Suite) et de Gmail avec Cisco Secure Email pour la remise des e-mails entrants et sortants. Ce document s'applique au matériel sur site, à la passerelle de messagerie électronique sécurisée Cisco virtuelle et à la passerelle de cloud de messagerie électronique sécurisée Cisco.

Conditions préalables

Exigences

Cisco vous recommande de disposer des connaissances et de l'accès administratif à votre environnement :

• E-mail sécurisé Cisco
• Accès CLI à votre environnement Cisco Secure Email Gateway ou Cisco Secure Email Cloud Gateway
  • Cisco Secure Email Cloud Gateway ? Cliquez ici pour plus d'informations sur l'accès CLI
• Google Workspace et Gmail
• SMTP
• DNS

Pour Cisco Secure Email Cloud Gateway, votre lettre de bienvenue inclut les informations relatives à votre hôte et à votre adresse IP requises dans ce document. Si vous n'avez pas reçu ou n'avez pas de copie de la lettre de bienvenue, veuillez contacter ces-activations@cisco.com en indiquant votre nom, vos coordonnées, le nom de votre société et le nom de domaine.

L'hôte et les adresses IP de la passerelle Cisco Secure Email Cloud Gateway sont dédiés à chaque allocation et ne sont pas modifiés sans notification. Par conséquent, vous pouvez utiliser les informations d'hôte et d'adresse IP attribuées dans votre configuration Google Workspace (Gmail).

Remarque : Veuillez valider les modifications de configuration avant tout transfert planifié des messages de production, car la réplication des modifications de configuration dans la console Google Workspace prend du temps. Prévoyez au moins une heure pour que toutes les modifications soient apportées.

Configurer Google Workspace (Gmail)

Configurer le courrier entrant (passerelle entrante) dans Google Workspace (Gmail)

1. Connectez-vous à votre console Google Admin (https://admin.google.com)
2. Accédez à Applications > Google Workspace
3. Cliquez sur Gmail
4. Faites défiler la liste et cliquez sur Spam, Phishing et Malware
5. Recherchez Inbound Gateway, passez le curseur dessus, puis cliquez pour modifier
6. Entrez les informations requises fournies à partir des informations contenues dans votre lettre de bienvenue :
   1. Sélectionnez Activer
   2. Pour les adresses IP de passerelle, cliquez sur Add, saisissez toutes les adresses IP dans votre lettre de bienvenue, puis cliquez sur Save.
   3. Sélectionnez Détection automatique des adresses IP externes (recommandé)
   4. Select Message est considéré comme un spam si l'en-tête suivant regexp correspond et entrez x-ipas-suspect pour le Regexp

      • La configuration de l'étiquetage des messages est facultative mais recommandée, car nous pouvons utiliser le dossier Spam dans Gmail avec un en-tête x

      • Reportez-vous à la section « Envoyer un spam suspect vers le dossier de spam Gmail [Facultatif] » plus loin dans ce document

   5. Cliquez sur Save dans le coin inférieur droit de votre navigateur

Comparez votre configuration finale de passerelle entrante dans Google Workspace à :

Remarque : pour toute question ou configuration supplémentaire, Google propose l'aide d'administration de Google Workspace : https://support.google.com/a/answer/60730?hl=en

Configurer le courrier entrant pour votre espace de travail Google (Gmail) dans la messagerie sécurisée Cisco

Contrôles de destination

La configuration d'un domaine de remise dans les contrôles de destination impose une autolimitation. Bien sûr, vous pouvez supprimer ce contrôle de destination ultérieurement, mais comme vos passerelles de messagerie sécurisées Cisco sont de « nouvelles » adresses IP pour Google, vous ne souhaitez pas que Google les étrangle en raison de leur réputation inconnue.

1. Connectez-vous à votre passerelle de messagerie sécurisée Cisco
2. Rendez-vous à Mail Policies (politiques de messagerie) > Destination Controls (contrôles de destination).
3. Cliquez sur Add Destination (ajouter une destination).
4. Utilisez ces valeurs :
   1. Destination : Votre nom de domaine
   2. Connexions simultanées : Utiliser la valeur par défaut (500)
   3. Maximum Messages Per Connection (nombre maximal de messages par connexion) : Utiliser la valeur par défaut (50)
   4. Destinataires : Maximum de 20 par 1 minute
   5. TLS Support (soutien TLS) : Preferred (option préférée)
5. Cliquez sur Submit
6. Cliquez sur Commit Changes dans le coin supérieur droit de l'interface utilisateur pour enregistrer vos modifications de configuration.

Tableau d’accès des destinataires

Ensuite, définissez le tableau d’accès des destinataires (RAT) pour qu’il accepte les courriels de vos domaines :

1. Rendez-vous à Mail Policies (politiques de messagerie) > Recipient Access Table (RAT) (tableau d’accès des destinataires).
   • Remarque : Assurez-vous que l'option « Overview for Listener » est définie sur IncomingMail si plusieurs écouteurs sont configurés
2. Cliquez sur Add Recipient (ajouter un destinataire).
3. Adresse du destinataire : Votre nom de domaine
   • Noms d'hôte tels que « example.com », IPv4, IPv6
   • Noms d'hôte partiels tels que « .example.com ».
   • Les noms d'utilisateur tels que « admin@ ».
   • Complétez les adresses e-mail telles que « joe@example.com », « joe@[IPv4] » ou « joe@[IPv6] »
   • Séparez plusieurs adresses par des virgules
4. Action : Sélectionnez l’action par défaut Accept (accepter).
5. Cliquez sur Submit
6. Cliquez sur Commit Changes dans le coin supérieur droit de l'interface utilisateur pour enregistrer vos modifications de configuration.    

Routes SMTP

Configurez le routage SMTP pour remettre le courrier de vos passerelles de messagerie sécurisées Cisco à votre domaine Google Workspace (Gmail) :

1. Rendez-vous à Network (réseau) > SMTP Routes (routes SMTP).
2. Cliquez sur Add Route… (ajouter une route…).
3. Receiving Domain (domaine de réception) : Votre nom de domaine
   • Nom de l'hôte: exchange.example.com
   • Domaine complet : example.com
   • Domaine partiel : .example.com
   • Adresse IPv4
   • Adresse IPv6
4. Destination Hosts (hôtes de destination) : ajoutez les enregistrements Google Workspace (Gmail) fournis ci-dessous et ajoutez des lignes supplémentaires si nécessaire
5. Cliquez sur Submit
6. Cliquez sur Commit Changes dans le coin supérieur droit de l'interface utilisateur pour enregistrer vos modifications de configuration. 

Hôtes SMTP de destination de Google Workspace (Gmail) :

La configuration du courrier entrant est terminée !

Configuration DNS (enregistrement MX)

Vous êtes prêt à couper votre domaine via une modification d'enregistrement MX (Mail Exchange). Tout d'abord, contactez votre administrateur DNS pour convertir vos enregistrements MX en adresses IP pour vos passerelles de messagerie sécurisées Cisco, comme indiqué dans votre lettre de bienvenue Cisco Secure Email.

Une fois que cela est terminé, vous pouvez vérifier les modifications DNS dans la console Google Workspace quant à ce que Google voit votre domaine MX :

1. Connectez-vous à votre console Google Admin (https://admin.google.com)
2. Accédez à Applications > Google Workspace
3. Cliquez sur Gmail
4. Faites défiler jusqu'à Setup et cliquez pour afficher
5. Les enregistrements MX actuels, comment Google fournit vos enregistrements DNS et MX associés à votre domaine, sont affichés.

          

Remarque : Accordez du temps de propagation si vous mettez à jour ou modifiez la durée de vie DNS de votre domaine.

Configurer la messagerie sortante pour votre espace de travail Google (Gmail) dans la messagerie sécurisée Cisco

Veuillez vous reporter à votre lettre de bienvenue de Cisco Secure Email. En outre, une interface secondaire est nécessaire pour les messages sortants via votre passerelle de messagerie sécurisée Cisco.

1. Connectez-vous à votre passerelle de messagerie sécurisée Cisco
2. Rendez-vous à Mail Policies (politiques de messagerie) > HAT Overview (aperçu HAT).
   • Remarque : Assurez-vous que l'option « Sender Groups (Listener) » est définie sur Outgoing si vous avez configuré plusieurs écouteurs
3. Cliquez sur Add Sender Group… (ajouter un groupe d’expéditeurs…).
4. Configurez le groupe d’expéditeurs comme suit :
   1. Name : RELAY_GMAIL
   2. Commentaire : Groupe d'expéditeurs et relais pour Gmail
   3. Policy (politique) : RELAYED (relayée)
   4. Cliquez sur Submit and Add Senders (soumettre et ajouter des expéditeurs).
   5. Sender (expéditeur) : .google.com
      • Remarque : Le « . » (point) au début du nom de domaine de l'expéditeur est requis
      • Exemples de configuration :
        • Adresses IPv4, sous-réseaux, plages
        • Adresses IPv6, sous-réseaux, plages
        • Noms d'hôte tels que example.com
        • Noms d'hôte partiels tels que .example.com
   6. Cliquez sur Submit
   7. Cliquez sur Commit Changes dans le coin supérieur droit de l'interface utilisateur pour enregistrer vos modifications de configuration. 

Comparez votre configuration finale de groupe d'expéditeurs à :

Configurer le courrier sortant (passerelle entrante) dans Google Workspace (Gmail)

1. Connectez-vous à votre console Google Admin (https://admin.google.com)
2. Accédez à Applications > Google Workspace
3. Cliquez sur Gmail
4. Faites défiler vers le bas et cliquez sur Routing
5. Pour la passerelle sortante, entrez l'adresse IP ou le nom d'hôte de votre « écouteur sortant » ou « courrier sortant » et cliquez sur Enregistrer
6. Cliquez sur Configurer pour le routage
   • Configurez le routage comme suit :
     1. Description: "CES-GMAIL_AUTH" ou saisissez un nom facilement identifiable ultérieurement
     2. Messages électroniques à affecter :
        • Sortant 
        • Interne - Envoi
     3. Pour ces types de messages :
        • Sélectionner, Ajouter des en-têtes personnalisés
          • Remarque : Pour empêcher les messages non autorisés via votre Gmail, un en-tête x secret est utilisé lorsque les messages quittent votre domaine Gmail ; cet en-tête est ensuite évalué par Cisco Secure Email et supprimé avant sa livraison sur Internet
        • Cliquez sur Add et saisissez : X-OUTBOUND-AUTH, mysecretkey
          • Remplacez "mysecretkey" par une clé de votre choix ; il est utilisé dans la section suivante.
        • Cliquez sur Save (enregistrer)

Comparez la configuration de votre passerelle de routage et de sortie à :

Poursuivez la configuration de la messagerie sortante et accédez à l'interface de ligne de commande de votre passerelle de messagerie sécurisée Cisco.

Remarque : la passerelle cloud de messagerie sécurisée Cisco ? Cliquez ici pour plus d'informations sur l'accès CLI.

Créez un filtre de messages pour rechercher l'en-tête et la valeur de l'en-tête x que nous venons de créer à partir de la configuration de Google Workspace (Gmail) dans les messages sortants. Ce filtre de message supprime également l'en-tête lorsqu'il existe. Le filtre de messages abandonne le message sortant traité via votre passerelle si l'en-tête n'est pas présent.

1. Connectez-vous à votre passerelle de messagerie sécurisée Cisco
2. Exécutez la commande Filters (filtres).
3. Comme toutes les passerelles cloud de messagerie sécurisée Cisco sont mises en grappe, appuyez sur Return pour modifier les filtres en mode « Cluster »
4. Utilisez l'opération New pour créer un filtre de messages, puis copiez et collez le code fourni :

   gmail_outbound: if sendergroup == "RELAY_GMAIL" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }​

5. Veillez à éditer "mysecretkey" avec la clé de votre choix selon la section précédente, avec "^" (début de chaîne) et "$" (fin de chaîne) pour votre chaîne regex
6. Appuyez une fois sur la touche Retour pour créer une nouvelle ligne vide.
7. Entrez « . » (point) sur la nouvelle ligne à la fin pour que votre nouveau filtre de message
8. Appuyez une fois sur la touche Retour pour quitter le menu Filters (filtres).
9. Exécutez la commande Commit (valider) pour enregistrer les modifications apportées à votre configuration.

La configuration du courrier sortant est terminée !

Tester le courrier sortant

Composez et envoyez un message sortant de votre adresse de messagerie gérée par Gmail à un destinataire de domaine externe. Ensuite, vous pouvez vérifier le suivi des messages pour vous assurer qu'il a été correctement acheminé vers l'extérieur.

Exemple de message où l'en-tête x ne correspond pas :

Exemple de message avec remise réussie :

Routage interne des e-mails sans analyse sécurisée des e-mails Cisco [Facultatif]

Si vous souhaitez que le routage d'utilisateur à utilisateur reste interne à Google Workspace (Gmail) [Facultatif, mais recommandé par Cisco], suivez les instructions ci-dessous :

1. Connectez-vous à votre console Google Admin (https://admin.google.com)
2. Accédez à Applications > Google Workspace
3. Cliquez sur Gmail
4. Cliquez sur Hosts
5. Cliquez sur Add route
6. Pour la fenêtre contextuelle « Add mail route » : 
   1. Ligne supérieure : « Routage interne sans analyse CES » ou saisissez un nom facilement identifiable ultérieurement
   2. Spécifier le serveur de messagerie : plusieurs hôtes
      • Principal : aspmx.l.google.com, (port) 25, (charge %) 100
      • Secondaire : alt1.aspmx.l.google.com, alt2.aspmx.l.google.com, (port) 25, (charge %) 50
   3. Options:
      • Décochez Exiger un certificat CA signé (recommandé)
   4. Cliquez sur Save (enregistrer)
7. Cliquez sur Enregistrer dans la section Hôtes principale

Suivant:

1. Cliquez sur Paramètres pour Gmail
2. Faites défiler vers le bas et cliquez sur Routing
3. Dans la section Routing, cliquez sur Add Another Rule
4. Pour la fenêtre contextuelle « Add mail route » :
   1. Ligne supérieure : « Routage interne sans analyse CES » ou saisissez un nom facilement identifiable ultérieurement
   2. Messages électroniques à affecter : Interne - Envoi
   3. Pour ces types de messages :
      • Laisser en tant que message Modifier
      • Pour Route, sélectionnez : Changer de route et réacheminer également le spam
   4. Cliquez sur Afficher les options et faites défiler vers le bas
   5. Pour "B. Type de compte à affecter » : Utilisateurs et groupes
   6. Pour "C. Filtre d'enveloppe" : Sélectionner uniquement les expéditeurs d'enveloppes spécifiques
      • Sélectionner la correspondance de motif
      • Pour Regexp : .*votre_domaine
        • Remarque : Le « . » (point) et "*" (astérisque) au début du nom de domaine est obligatoire
   7. Cliquez sur Save (enregistrer)

Tester le courrier de routage interne. Envoyer un e-mail à un autre destinataire avec le même nom de domaine de messagerie interne.

Tester et valider la remise des e-mails

Composez et envoyez un message à votre adresse e-mail gérée par Gmail. Vérifiez ensuite qu'il arrive dans votre boîte de réception de messagerie gérée par Gmail.

Ensuite, validez la remise des messages dans le suivi des messages dans Cisco Secure Email.

1. Connectez-vous à votre modem routeur (ex. https://dhXXYY-esa1.iphmx.com/ng-login), ou si vous disposez d'un Cisco Secure Manager (ex. https://dhXXYY-sma1.iphmx.com/ng-login)
2. Cliquez sur Tracking (suivi).
3. Entrez vos critères de recherche d'informations de message (Objet, Destinataire du message) et cliquez sur Rechercher ; les résultats de recherche renvoyés sont similaires à :

Pour afficher les journaux de messagerie dans Google Workspace (Gmail) :

1. Connectez-vous à la console d'administration G Suite (https://admin.google.com)
2. Accéder aux rapports
3. Faites défiler l'écran vers le bas et, dans le menu de droite, sélectionnez Recherche dans le journal des e-mails
4. Entrez les critères de recherche requis et cliquez sur Rechercher ; les résultats sont similaires à :

Envoyer le spam suspect vers le dossier de spam Gmail [Facultatif]

Si vous souhaitez utiliser Cisco Secure Email pour envoyer du spam suspecté vers le dossier Spam de Gmail :

1. Connectez-vous à votre passerelle de messagerie sécurisée Cisco
2. Naviguez jusqu'à Politiques de messagerie > Politiques de messages entrants
3. Sélectionnez Antispam comme nom de votre stratégie ou utilisez la « Stratégie par défaut ».
4. Cliquez sur Avancé pour les paramètres de spam suspecté
5. Pour Ajouter un en-tête personnalisé (facultatif), insérez x-ipas-suspect
   • Remarque : Il peut également être configuré pour les paramètres de spam à identification positive si vous ne souhaitez pas supprimer/mettre en quarantaine le spam via Cisco Secure Email Gateway

Comparez vos paramètres antispam finaux pour le paramètre Spam suspecté à :

Dans votre e-mail géré par Gmail, recherchez « in : spam » ou recherchez « in : spam » dans le dossier Spam de votre application de messagerie.

Informations connexes

Assistance et documentation techniques - Cisco Systems