Introduction
Ce document décrit les étapes de l'intégration de Google Workspace (anciennement G Suite) et de Gmail à Cisco Secure Email pour la livraison de messages entrants et sortants. Ce document s'applique au matériel sur site, à la passerelle de messagerie sécurisée virtuelle Cisco et à la passerelle de cloud de messagerie sécurisée Cisco.
Conditions préalables
Conditions requises
Cisco vous recommande de disposer des connaissances et de l'accès administratif à votre environnement :
- E-mail sécurisé Cisco
- Accès CLI à votre passerelle de messagerie sécurisée Cisco ou à l'environnement de passerelle cloud de messagerie sécurisée Cisco
- Google Workspace et Gmail
- SMTP
- DNS
Pour Cisco Secure Email Cloud Gateway, votre lettre de bienvenue inclut les informations relatives à votre hôte et à votre adresse IP nécessaires dans ce document. Si vous n'avez pas reçu ou n'avez pas de copie de la lettre de bienvenue, veuillez contacter ces-activations@cisco.com avec votre nom, vos coordonnées, le nom de la société et le nom de domaine.
Les adresses IP et hôte de la passerelle de messagerie sécurisée Cisco sont dédiées à chaque allocation et ne sont pas modifiées sans notification. Par conséquent, vous pouvez utiliser les informations d'hôte et d'IP affectées dans votre configuration Google Workspace (Gmail).
Note: Validez les modifications de configuration avant toute coupure de courrier de production planifiée, car les modifications de configuration prennent du temps à se répliquer dans la console Google Workspace. Prévoyez au moins une heure pour que toutes les modifications soient apportées.
Configurer Google Workspace (Gmail)
Configurer la messagerie entrante (passerelle entrante) dans Google Workspace (Gmail)
- Connectez-vous à votre console Google Admin (https://admin.google.com)
- Accédez à Applications > Google Workspace
- Cliquez sur Gmail
- Faites défiler la page vers le bas et cliquez sur Spam, Phishing et Malware
- Recherchez la passerelle entrante, placez le pointeur de la souris sur celle-ci, puis cliquez pour la modifier
- Entrez les informations requises fournies à partir des informations contenues dans votre lettre de bienvenue :
- Sélectionner Activer
- Pour les adresses IP de passerelle, cliquez sur Ajouter, entrez toutes les adresses IP dans votre lettre de bienvenue, puis cliquez sur Enregistrer.
- Sélectionnez Détecter automatiquement l'IP externe (recommandé)
- Sélectionnez Message comme spam si l'en-tête regexp suivant correspond et entrez x-ipas-suspect pour le Regexp
-
La configuration de l'étiquetage des messages est facultative mais recommandée, car nous pouvons utiliser le dossier Spam de Gmail avec un en-tête x
-
Reportez-vous à la section « Envoyer un spam suspect au dossier de spam Gmail [Facultatif]" plus loin dans ce document
- Cliquez sur Enregistrer dans le coin inférieur droit de votre navigateur
Comparez la configuration finale de votre passerelle entrante dans Google Workspace à :
Remarque : pour plus d'informations sur la configuration et les questions, Google fournit l'aide de l'administrateur de l'espace de travail Google : https://support.google.com/a/answer/60730?hl=en
Configurer la messagerie entrante pour votre espace de travail Google (Gmail) dans Cisco Secure Email
Contrôles de destination
La configuration d'un domaine de livraison dans les contrôles de destination impose une auto-régulation. Bien sûr, vous pouvez supprimer ce contrôle de destination plus tard, mais comme vos passerelles de messagerie sécurisée Cisco sont de « nouvelles » adresses IP pour Google, vous ne voulez pas de limitation par Google en raison de leur réputation inconnue.
- Connectez-vous à votre passerelle de messagerie sécurisée Cisco
- Rendez-vous à Mail Policies (politiques de messagerie) > Destination Controls (contrôles de destination).
- Cliquez sur Add Destination (ajouter une destination).
- Utilisez ces valeurs :
- Destination : Votre nom de domaine
- Connexions simultanées : Utiliser la valeur par défaut (500)
- Maximum Messages Per Connection (nombre maximal de messages par connexion) : Utiliser la valeur par défaut (50)
- Destinataires : Maximum de 20 par 1 minute
- TLS Support (soutien TLS) : Preferred (option préférée)
- Cliquez sur Submit
- Cliquez sur Valider les modifications dans l'angle supérieur droit de l'interface utilisateur pour enregistrer vos modifications de configuration.
Tableau d’accès des destinataires
Ensuite, définissez le tableau d’accès des destinataires (RAT) pour qu’il accepte les courriels de vos domaines :
- Rendez-vous à Mail Policies (politiques de messagerie) > Recipient Access Table (RAT) (tableau d’accès des destinataires).
- Note: Assurez-vous que la vue d'ensemble de l'écouteur est définie sur IncomingMail si plusieurs écouteurs sont configurés
- Cliquez sur Add Recipient (ajouter un destinataire).
- Adresse du destinataire : Votre nom de domaine
- Noms d'hôte tels que "example.com« , IPv4, IPv6
- Noms d'hôte partiels tels que ".example.com. »
- Les noms d'utilisateur tels que "admin@. »
- Complétez les adresses e-mail telles que "joe@example.com« , « joe@[IPv4]" ou « joe@[IPv6]"
- Séparer plusieurs adresses par des virgules
- Action : Sélectionnez l’action par défaut Accept (accepter).
- Cliquez sur Submit
- Cliquez sur Valider les modifications dans l'angle supérieur droit de l'interface utilisateur pour enregistrer vos modifications de configuration.
Routes SMTP
Configurez la route SMTP pour acheminer le courrier de vos passerelles de messagerie sécurisée Cisco vers votre domaine Google Workspace (Gmail) :
- Rendez-vous à Network (réseau) > SMTP Routes (routes SMTP).
- Cliquez sur Add Route… (ajouter une route…).
- Receiving Domain (domaine de réception) : Votre nom de domaine
- Nom de l'hôte: exchange.example.com
- Domaine complet : example.com
- Domaine partiel : .example.com
- Adresse IPv4
- Adresse IPv6
- Destination Hosts (hôtes de destination) : ajouter les enregistrements Google Workspace (Gmail) fournis ci-dessous et ajouter des lignes supplémentaires si nécessaire
- Cliquez sur Submit
- Cliquez sur Valider les modifications dans l'angle supérieur droit de l'interface utilisateur pour enregistrer vos modifications de configuration.
Hôtes SMTP de destination de l'espace de travail Google (Gmail) :
Priorité |
Destination |
Port |
1 |
aspmx.l.google.com |
25 |
5 |
alt1.aspmx.l.google.com |
25 |
5 |
alt2.aspmx.l.google.com |
25 |
10 |
alt3.aspmx.l.google.com |
25 |
10 |
alt2.aspmx.l.google.com |
25 |
La configuration du courrier entrant est terminée !
Configuration DNS (enregistrement MX)
Vous êtes prêt à couper votre domaine via un enregistrement MX (Mail Exchange). Tout d'abord, contactez votre administrateur DNS pour résoudre vos enregistrements MX en adresses IP pour vos passerelles de messagerie sécurisée Cisco, comme indiqué dans votre lettre d'accueil Cisco Secure Email.
Une fois que vous avez terminé, vous pouvez vérifier les modifications DNS dans la console Google Workspace quant à ce que Google voit votre domaine MX :
- Connectez-vous à votre console Google Admin (https://admin.google.com)
- Accédez à Applications > Google Workspace
- Cliquez sur Gmail
- Faites défiler jusqu'à Setup et cliquez pour afficher
- Les enregistrements MX actuels, comment Google fournit vos enregistrements DNS et MX associés à votre domaine, sont affichés.
Note: Laissez du temps pour la propagation si vous mettez à jour ou modifiez la durée de vie DNS de votre domaine.
Configurer la messagerie sortante pour votre espace de travail Google (Gmail) dans Cisco Secure Email
Veuillez vous reporter à votre lettre de bienvenue de Cisco Secure Email. En outre, une interface secondaire est nécessaire pour les messages sortants via votre passerelle de messagerie sécurisée Cisco.
- Connectez-vous à votre passerelle de messagerie sécurisée Cisco
- Rendez-vous à Mail Policies (politiques de messagerie) > HAT Overview (aperçu HAT).
- Note: Assurez-vous que le paramètre « Groupes d'expéditeurs (écouteur)" est défini sur Sortant si plusieurs écouteurs sont configurés
- Cliquez sur Add Sender Group… (ajouter un groupe d’expéditeurs…).
- Configurez le groupe d’expéditeurs comme suit :
- Name : RELAY_GMAIL
- Commentaire : Groupe d'expéditeurs et relais pour Gmail
- Policy (politique) : RELAYED (relayée)
- Cliquez sur Submit and Add Senders (soumettre et ajouter des expéditeurs).
- Sender (expéditeur) : .google.com
- Note: Le « . » (point) au début du nom de domaine de l'expéditeur est requis
- Exemples de configuration :
- Adresses IPv4, sous-réseaux, plages
- Adresses IPv6, sous-réseaux, plages
- Noms d’hôte tels que example.com
- Noms d'hôte partiels tels que .example.com
- Cliquez sur Submit
- Cliquez sur Valider les modifications dans l'angle supérieur droit de l'interface utilisateur pour enregistrer vos modifications de configuration.
Comparez la configuration finale de votre groupe d'expéditeurs à :
Configurer la messagerie sortante (passerelle entrante) dans Google Workspace (Gmail)
- Connectez-vous à votre console Google Admin (https://admin.google.com)
- Accédez à Applications > Google Workspace
- Cliquez sur Gmail
- Faites défiler la liste vers le bas et cliquez sur Routage
- Pour la passerelle sortante, entrez l'adresse IP ou le nom d'hôte de votre écouteur sortant ou de votre courrier sortant, puis cliquez sur Enregistrer
- Cliquez sur Configurer pour le routage
- Configurez le routage comme suit :
- Description: « CES-GMAIL_AUTH » ou saisissez un nom facilement identifié ultérieurement
- E-mail à affecter :
- Pour ces types de messages :
- Sélectionner, ajouter des en-têtes personnalisés
- Note: Pour empêcher les messages non autorisés via votre Gmail, un en-tête x secret est utilisé lorsque les messages quittent votre domaine Gmail ; cet en-tête est ensuite évalué par Cisco Secure Email et supprimé avant d'être livré à Internet
- Cliquez sur Ajouter et saisissez : X-OUTBOUND-AUTH, mysecretkey
- Remplacer "mysecrétariat" par une clé de votre choix ; ceci est utilisé dans la section suivante.
- Cliquez sur Save (enregistrer)
Comparez votre configuration de routage et de passerelle sortante à :
Poursuivez la configuration de votre configuration Outbound Mail et accédez à l'interface de ligne de commande de votre passerelle de messagerie sécurisée Cisco.
Remarque : Cisco Secure Email Cloud Gateway ? Cliquez ici pour plus d'informations sur l'accès CLI.
Créez un filtre de messages pour inspecter les messages sortants à la recherche de l'en-tête et de la valeur de l'en-tête x que nous venons de créer à partir de la configuration de Google Workspace (Gmail). Ce filtre de message supprime également l'en-tête lorsqu'il existe. Le filtre de message supprime le message sortant traité via votre passerelle si l'en-tête n'est pas présent.
- Connectez-vous à votre passerelle de messagerie sécurisée Cisco
- Exécutez la commande Filters (filtres).
- Comme toutes les passerelles cloud de messagerie sécurisée Cisco sont mises en grappe, cliquez sur le bouton retour pour modifier les filtres en mode « cluster »
- Utilisez l'opération Nouveau pour créer un filtre de message, puis copiez et collez le code fourni :
gmail_outbound: if sendergroup == "RELAY_GMAIL" {
if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
strip-header("X-OUTBOUND-AUTH");
} else {
drop();
}
}
- Veillez à modifier la "mysecrétariat" avec la clé de votre choix par la section précédente, avec "^" (début de chaîne) et "$" (fin de chaîne) pour votre chaîne regex
- Appuyez une fois sur la touche Retour pour créer une nouvelle ligne vide.
- Entrez « . » (point) sur la nouvelle ligne jusqu'à la fin pour créer votre nouveau filtre de messages
- Appuyez une fois sur la touche Retour pour quitter le menu Filters (filtres).
- Exécutez la commande Commit (valider) pour enregistrer les modifications apportées à votre configuration.
La configuration du courrier sortant est terminée !
Tester l'e-mail sortant
Composez et envoyez un message sortant à partir de votre adresse e-mail gérée par Gmail à un destinataire de domaine externe. Ensuite, vous pouvez consulter le suivi des messages pour vous assurer qu'il a été routé correctement vers l'extérieur.
Exemple de message dans lequel l'en-tête x ne correspond pas :
Exemple de message avec remise réussie :
Routage interne des e-mails sans analyse sécurisée des e-mails Cisco [Facultatif]
Si vous souhaitez que le routage utilisateur-utilisateur reste interne à Google Workspace (Gmail) [Facultatif, mais recommandé par Cisco], suivez les instructions ci-dessous :
- Connectez-vous à votre console Google Admin (https://admin.google.com)
- Accédez à Applications > Google Workspace
- Cliquez sur Gmail
- Cliquez sur Hôtes
- Cliquez sur Ajouter une route
- Pour la fenêtre contextuelle Ajouter une route de messagerie :
- Première ligne : "Routage interne sans analyse CES" ou saisissez un nom facilement identifié ultérieurement
- Spécifier le serveur de messagerie : plusieurs hôtes
- Principal : aspmx.l.google.com, (port) 25, (% de charge) 100
- Secondaire : alt1.aspmx.l.google.com, alt2.aspmx.l.google.com, (port) 25, (charge %) 50
- Options:
- Annuler la vérification Exiger un certificat signé par l'autorité de certification (recommandé)
- Cliquez sur Save (enregistrer)
- Cliquez sur Enregistrer dans la section Hôtes principaux.
Suivant :
- Cliquez sur Paramètres de Gmail
- Faites défiler la liste vers le bas et cliquez sur Routage
- Dans la section Routage, cliquez sur Ajouter une autre règle
- Pour la fenêtre contextuelle Ajouter une route de messagerie :
- Première ligne : "Routage interne sans analyse CES" ou saisissez un nom facilement identifié ultérieurement
- Messages à affecter : Interne - Envoi
- Pour ces types de messages :
- Laisser comme message Modifier
- Pour Route, sélectionnez : Modifier le routage et également réacheminer le courrier indésirable
- Cliquez sur Afficher les options et faites défiler vers le bas
- Pour « B. Type de compte à affecter » : Utilisateurs et groupes
- Pour « Filtre enveloppe C » : Sélectionner Affecter uniquement les expéditeurs d'enveloppes spécifiques
- Sélectionner la correspondance de motif
- Pour Regexp : .*votre_domaine
- Note: Le « . » (point) et "*" (astérisque) au début du nom de domaine sont requis
- Cliquez sur Save (enregistrer)
Tester le courrier de routage interne. Envoyer un e-mail à un autre destinataire avec le même nom de domaine de messagerie interne.
Tester et valider la remise par e-mail
Composez et envoyez un message à votre adresse e-mail gérée par Gmail. Ensuite, vérifiez qu'il arrive dans votre boîte de réception de messagerie Gmail.
Ensuite, validez la remise des messages dans le suivi des messages dans Cisco Secure Email.
- Connectez-vous à votre passerelle (par exemple https://dhXXYY-esa1.iphmx.com/ng-login), ou si vous avez un Cisco Secure Manager (ex. https://dhXXYY-sma1.iphmx.com/ng-login)
- Cliquez sur Tracking (suivi).
- Saisissez vos critères de recherche d'informations de message (Objet, Destinataire de l'enveloppe) et cliquez sur Recherche ; les résultats de recherche retournés sont similaires à :
Pour afficher les journaux de messagerie dans Google Workspace (Gmail) :
- Connectez-vous à la console d'administration G Suite (https://admin.google.com)
- Accéder aux rapports
- Faites défiler la liste vers le bas et, dans le menu de droite, sélectionnez Recherche dans le journal des e-mails
- Entrez les critères de recherche requis et cliquez sur Rechercher ; les résultats sont similaires à :
Envoyer le spam suspect au dossier de spam Gmail [Facultatif]
Si vous souhaitez utiliser Cisco Secure Email pour envoyer des spams suspectés dans le dossier Spam de Gmail :
- Connectez-vous à votre passerelle de messagerie sécurisée Cisco
- Accédez à Politiques de messagerie > Politiques de messagerie entrante
- Sélectionnez Antispam pour le nom de votre stratégie ou utilisez la stratégie par défaut.
- Cliquez sur Avancé pour les paramètres de spam suspecté
- Pour Ajouter un en-tête personnalisé (facultatif), insérer x-ipas-suspect
- Note: Il peut également être configuré pour les paramètres de spam identifiés positivement si vous ne souhaitez pas supprimer/mettre en quarantaine le spam via la passerelle de messagerie sécurisée Cisco
Comparez vos paramètres antispam finaux pour les spams suspects à :
Dans votre messagerie gérée par Gmail, recherchez « in : spam » ou recherchez dans le dossier Spam à partir de votre application de messagerie.
Informations connexes
Support et documentation techniques - Cisco Systems