Configura Google Workspace (Gmail)

Introduzione

In questo documento viene descritta la procedura per l'integrazione di Google Workspace (in precedenza G Suite) e Gmail con Cisco Secure Email per il recapito di e-mail in entrata e in uscita. Questo documento è relativo all'hardware locale, a Cisco Secure Email Gateway virtuale e a Cisco Secure Email Cloud Gateway.

Prerequisiti

Requisiti

Cisco consiglia di disporre delle conoscenze e dell'accesso amministrativo al proprio ambiente:

• Cisco Secure Email
• Accesso CLI all'ambiente Cisco Secure Email Gateway o Cisco Secure Email Cloud Gateway
  • Cisco Secure Email Cloud Gateway? Fare clic qui per ulteriori informazioni sull'accesso CLI
• Google Workspace e Gmail
• SMTP
• DNS

Per Cisco Secure Email Cloud Gateway, la lettera di benvenuto include le informazioni sull'host e sull'IP richieste in questo documento. Se non hai ricevuto o non disponi di una copia della lettera di benvenuto, contatta ces-activations@cisco.com fornendo il tuo nome, le informazioni di contatto, il nome della società e il nome di dominio.

L'host e gli indirizzi IP di Cisco Secure Email Cloud Gateway sono dedicati a ciascuna allocazione e non vengono modificati senza notifica. Pertanto, è possibile utilizzare le informazioni relative all'host e all'indirizzo IP assegnate nella configurazione di Google Workspace (Gmail).

Nota: Convalidare le modifiche alla configurazione prima di qualsiasi interruzione pianificata della posta di produzione perché la replica delle modifiche alla configurazione nella console di Google Workspace richiede tempo. Attendere almeno 1 ora che tutte le modifiche diventino effettive.

Configura Google Workspace (Gmail)

Configurazione della posta in arrivo (gateway in entrata) in Google Workspace (Gmail)

1. Accedere alla console di amministrazione di Google (https://admin.google.com)
2. Passare a App > Google Workspace
3. Fai clic su Gmail
4. Scorrere verso il basso e fare clic su Spam, Phishing e Malware
5. Cercare il gateway in entrata, passare il mouse su di esso e fare clic per modificarlo
6. Immettere le informazioni richieste, ricavate dalle informazioni contenute nella lettera di benvenuto:
   1. Selezionare Attiva
   2. Per gli indirizzi IP del gateway, fare clic su Aggiungi, immettere tutti gli indirizzi IP nella lettera di benvenuto e fare clic su Salva.
   3. Selezionare Rileva automaticamente IP esterno (scelta consigliata)
   4. Selezionare Il messaggio è considerato posta indesiderata se l'intestazione regexp seguente corrisponde e immettere x-ipas-suspect per Regexp

      • La configurazione per l'etichettatura dei messaggi è facoltativa ma consigliata, in quanto è possibile utilizzare la cartella della posta indesiderata in Gmail con un'intestazione x

      • Fare riferimento a "Send Suspect Spam to Gmail Spam Folder [Optional]" (Invia messaggi di posta indesiderata alla cartella della posta indesiderata Gmail) più avanti in questo documento

   5. Fare clic su Save (Salva) nell'angolo inferiore destro del browser

Confrontare la configurazione finale del gateway in entrata in Google Workspace con:

Nota: per ulteriori informazioni sull'installazione, Google fornisce la Guida per l'amministratore di Google Workspace: https://support.google.com/a/answer/60730?hl=en

Configurazione della posta in arrivo per Google Workspace (Gmail) in Cisco Secure Email

Controlli di destinazione

La configurazione di un dominio di recapito nei controlli di destinazione impone un'autoaccelerazione. Naturalmente, è possibile rimuovere questo controllo di destinazione in un secondo momento, ma poiché i gateway di posta elettronica sicuri Cisco sono "nuovi" IP per Google, non si desidera alcuna limitazione da parte di Google a causa della loro reputazione sconosciuta.

1. Accedere a Cisco Secure Email Gateway
2. Andare a Mail Policies > Destination Controls (Policy di posta > Controlli di destinazione).
3. Fare clic su Add Destination (Aggiungi destinazione).
4. Utilizzare i seguenti valori:
   1. Destinazione: Nome dominio
   2. Connessioni simultanee: Usa predefinito (500)
   3. Numero di messaggi massimo per connessione: Usa predefinito (50)
   4. Destinatari: Massimo 20 per 1 minuto
   5. Supporto TLS: Preferred (Preferito)
5. Fare clic su Submit (Invia).
6. Fare clic su Commit delle modifiche nell'angolo superiore destro dell'interfaccia utente per salvare le modifiche alla configurazione.

Tabella di accesso destinatari

Impostare quindi la tabella di accesso destinatari, o RAT (Recipient Access Table), per accettare l'e-mail nei tuoi domini:

1. Andare a Mail Policies > Recipient Access Table (RAT) (Policy di posta > Tabella di accesso destinatari (RAT)).
   • Nota: Verificare che "Panoramica per il listener" sia impostato su IncomingMail se sono stati configurati più listener
2. Fare clic su Add Recipient (Aggiungi destinatari).
3. Indirizzo destinatario: Nome dominio
   • Nomi host come "example.com", IPv4, IPv6
   • Nomi host parziali, ad esempio ".example.com".
   • Nomi utente quali "admin@".
   • Indirizzi e-mail completi, ad esempio "joe@example.com", "joe@[IPv4]" o "joe@[IPv6]"
   • Separa più indirizzi con virgole
4. Azione: Selezionare l'azione predefinita Accept (Accetta).
5. Fare clic su Submit (Invia).
6. Fare clic su Commit delle modifiche nell'angolo superiore destro dell'interfaccia utente per salvare le modifiche alla configurazione.    

Route SMTP

Configurare il percorso SMTP per il recapito della posta dai gateway di posta elettronica sicura Cisco al dominio di Google Workspace (Gmail):

1. Andare a Network > SMTP Routes (Rete > Route SMTP).
2. Fare clic su Add Route... (Aggiungi route).
3. Receiving Domain (Dominio di ricezione): Nome dominio
   • Nome host: exchange.example.com
   • Dominio completo: example.com
   • Dominio parziale: .example.com
   • Indirizzo IPv4
   • Indirizzo IPv6
4. Destination Hosts (Host di destinazione): aggiungere i record di Google Workspace (Gmail) forniti di seguito e aggiungere ulteriori righe se necessario
5. Fare clic su Submit (Invia).
6. Fare clic su Commit delle modifiche nell'angolo superiore destro dell'interfaccia utente per salvare le modifiche alla configurazione. 

Host SMTP di destinazione di Google Workspace (Gmail):

Configurazione della posta in arrivo completata.

Configurazione DNS (record MX)

È ora possibile tagliare il dominio tramite una modifica del record di Mail Exchange (MX). In primo luogo, collaborare con l'amministratore DNS per risolvere i record MX negli indirizzi IP dei gateway di posta elettronica sicuri Cisco come indicato nella lettera di benvenuto di Cisco Secure Email.

Una volta completato, è possibile verificare le modifiche DNS nella console di Google Workspace per quanto riguarda ciò che Google vede il tuo dominio MX:

1. Accedere alla console di amministrazione di Google (https://admin.google.com)
2. Passare a App > Google Workspace
3. Fai clic su Gmail
4. Scorrere fino a Impostazione e fare clic per visualizzare
5. Vengono visualizzati i record MX correnti e il modo in cui Google fornisce i record DNS e MX associati al dominio.

          

Nota: Consentire il tempo per la propagazione se si aggiorna o si modifica il TTL DNS del dominio.

Configurazione della posta in uscita per Google Workspace (Gmail) in Cisco Secure Email

Fare riferimento alla lettera di benvenuto di Cisco Secure Email. Inoltre, è necessaria un'interfaccia secondaria per i messaggi in uscita tramite Cisco Secure Email Gateway.

1. Accedere a Cisco Secure Email Gateway
2. Andare a Mail Policies > HAT Overview (Policy di posta > Panoramica HAT).
   • Nota: Verificare che "Gruppi di mittenti (listener)" sia impostato su In uscita se sono stati configurati più listener
3. Fare clic su Add Sender Group... (Aggiungi gruppo di mittenti).
4. Configurare il gruppo di mittenti come:
   1. Nome: INOLTRA_GMAIL
   2. Commento: gruppo mittente e inoltro per Gmail
   3. Policy: RELAYED (Inoltrato)
   4. Fare clic su Submit and Add Senders (Invia e aggiungi mittenti).
   5. Mittente: .google.com.
      • Nota: il "." (punto) all'inizio del nome di dominio del mittente è obbligatorio
      • Esempi per la configurazione:
        • Indirizzi, subnet, intervalli IPv4
        • Indirizzi IPv6, subnet, intervalli
        • Nomi host come example.com
        • Nomi host parziali, ad esempio .example.com
   6. Fare clic su Submit (Invia).
   7. Fare clic su Commit delle modifiche nell'angolo superiore destro dell'interfaccia utente per salvare le modifiche alla configurazione. 

Confrontare la configurazione finale del gruppo di mittenti con:

Configurazione della posta in uscita (gateway in entrata) in Google Workspace (Gmail)

1. Accedere alla console di amministrazione di Google (https://admin.google.com)
2. Passare a App > Google Workspace
3. Fai clic su Gmail
4. Scorrere verso il basso e fare clic su Routing
5. Per il gateway in uscita, immettere l'indirizzo IP o il nome host del listener in uscita o della posta in uscita e fare clic su Salva
6. Fare clic su Configura per instradamento
   • Configurare il routing come segue:
     1. Descrizione: "CES-GMAIL_AUTH" oppure immettere un nome facilmente identificabile in seguito
     2. Messaggi di posta elettronica da modificare:
        • In uscita
        • Interno - Invio
     3. Per questi tipi di messaggi:
        • Seleziona, Aggiungi intestazioni personalizzate
          • Nota: Per evitare messaggi non autorizzati tramite Gmail, viene utilizzata un'intestazione x segreta quando i messaggi lasciano il dominio Gmail; questa intestazione viene quindi valutata da Cisco Secure Email e rimossa prima della consegna a Internet
        • Fare clic su Add (Aggiungi) e immettere: X-OUTBOUND-AUTH, mysecretkey
          • Sostituire "mysecretkey" con una chiave di propria scelta; questa opzione viene utilizzata nella sezione successiva.
        • Fare clic su Salva.

Confrontare la configurazione di Routing e Gateway in uscita con:

Continuare con la configurazione della posta in uscita e accedere alla CLI del gateway Cisco Secure Email.

Nota: Cisco Secure Email Cloud Gateway? Fare clic qui per ulteriori informazioni sull'accesso CLI.

Crea un filtro messaggi per controllare i messaggi in uscita per l'intestazione e il valore dell'intestazione x appena creata dalla configurazione di Google Workspace (Gmail). Questo filtro messaggi rimuove anche l'intestazione esistente. Il filtro messaggi elimina il messaggio in uscita elaborato tramite il gateway se l'intestazione non è presente.

1. Accedere a Cisco Secure Email Gateway
2. Eseguire il comando Filtri.
3. Poiché tutti i gateway Cisco Secure Email Cloud sono raggruppati, premere INVIO per modificare i filtri in modalità "Cluster"
4. Utilizzare l'operazione New per creare un filtro messaggi, quindi copiare e incollare il codice fornito:

   gmail_outbound: if sendergroup == "RELAY_GMAIL" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }​

5. Assicurarsi di modificare "mysecretkey" con la chiave scelta nella sezione precedente, con "^" (inizio stringa) e "$" (fine stringa) per la stringa regex
6. Premere Invio una volta per creare una nuova riga vuota.
7. Immettere "." (punto) sulla nuova riga per terminare per creare il nuovo filtro messaggi
8. Premere Invio per uscire dal menu Filtri.
9. Eseguire il comando Commit per salvare le modifiche alla configurazione.

Configurazione della posta in uscita completata.

Test posta elettronica in uscita

Comporre e inviare un messaggio in uscita dal tuo indirizzo di posta elettronica gestito da Gmail a un destinatario del dominio esterno. È quindi possibile esaminare la verifica messaggi per verificare che il routing sia stato eseguito correttamente in uscita.

Esempio di messaggio in cui l'intestazione x non corrisponde:

Esempio di messaggio con recapito riuscito:

Routing e-mail interno senza Cisco Secure Email Scanning [Facoltativo]

Se si desidera mantenere il routing tra utenti interno a Google Workspace (Gmail) [facoltativo, ma consigliato da Cisco], attenersi alle istruzioni riportate di seguito:

1. Accedere alla console di amministrazione di Google (https://admin.google.com)
2. Passare a App > Google Workspace
3. Fai clic su Gmail
4. Fare clic sugli host
5. Fare clic su Aggiungi route
6. Per il popup "Aggiungi route di posta": 
   1. Riga superiore: "Routing interno senza scansione CES", oppure immettere un nome che possa essere facilmente identificato in seguito
   2. Specificare il server di posta elettronica: più host
      • Primario: aspmx.l.google.com, (porta) 25, (carico %) 100
      • Secondario: alt1.aspmx.l.google.com, alt2.aspmx.l.google.com, (porta) 25, (Carica%) 50
   3. Options:
      • Deseleziona l'opzione Richiedi certificato firmato dall'autorità di certificazione (scelta consigliata)
   4. Fare clic su Salva.
7. Fare clic su Save (Salva) nella sezione Main Hosts (Host principali).

Avanti:

1. Fare clic su Impostazioni per Gmail
2. Scorrere verso il basso e fare clic su Routing
3. Nella sezione Instradamento fare clic su Aggiungi un'altra regola
4. Per il popup "Aggiungi route di posta":
   1. Riga superiore: "Routing interno senza scansione CES", oppure immettere un nome che possa essere facilmente identificato in seguito
   2. Messaggi e-mail da modificare: Interno - Invio
   3. Per questi tipi di messaggi:
      • Lascia come messaggio di modifica
      • In Route, selezionare: Modifica del percorso e reindirizza anche la posta indesiderata
   4. Fare clic su Mostra opzioni e scorrere verso il basso
   5. Per "B. Tipo di account da modificare": Utenti e gruppi
   6. Per "C. Envelope filter": Selezionare Solo per mittenti specifici
      • Seleziona corrispondenza motivo
      • Per Regexp: .*dominio_utente
        • Nota: il "." (punto) e "*" (asterisco) all'inizio del nome del dominio è obbligatorio
   7. Fare clic su Salva.

Testare la posta di routing interna. Invia un messaggio di posta elettronica a un altro destinatario con lo stesso nome di dominio interno.

Test e convalida recapito e-mail

Scrivi e invia un messaggio al tuo indirizzo di posta elettronica gestito da Gmail. Quindi, controlla che arrivi nella tua Posta in arrivo gestita da Gmail.

Quindi, convalidare il recapito dei messaggi in Message Tracking all'interno di Cisco Secure Email.

1. Accedere al gateway (es. https://dhXXYY-esa1.iphmx.com/ng-login) o se si dispone di un Cisco Secure Manager (ad esempio, https://dhXXYY-sma1.iphmx.com/ng-login)
2. Fare clic su Tracking (Monitoraggio).
3. Immettere i criteri di ricerca delle informazioni sul messaggio (Oggetto, Destinatario busta) e fare clic su Cerca; i risultati restituiti sono simili a:

Per visualizzare i log di posta in Google Workspace (Gmail):

1. Accedere alla console di amministrazione di G Suite (https://admin.google.com)
2. Passa ai rapporti
3. Scorrere verso il basso e nel menu a destra, selezionare Email Log Search
4. Immettere i criteri di ricerca necessari e fare clic su Cerca; i risultati sono simili a:

Inviare messaggi sospetti di posta indesiderata alla cartella della posta indesiderata Gmail [Facoltativo]

Se si desidera utilizzare Cisco Secure Email per inviare i messaggi di posta indesiderata alla cartella della posta indesiderata in Gmail:

1. Accedere a Cisco Secure Email Gateway
2. Selezionare Mail Policies > Incoming Mail Policies > (Policy di posta in arrivo)
3. Selezionare Anti-Spam come nome del criterio o utilizzare il criterio predefinito.
4. Fare clic su Advanced (Avanzate) for Suspected Spam Settings (Impostazioni di posta indesiderata sospette)
5. Per Aggiungi intestazione personalizzata (facoltativo), inserire x-ipas-suspect
   • Nota: Questa opzione può essere configurata anche per le impostazioni di posta indesiderata con identificazione positiva, se non si desidera eliminare/mettere in quarantena la posta indesiderata tramite Cisco Secure Email Gateway

Confrontare le impostazioni finali della protezione da posta indesiderata con:

Nella posta elettronica gestita da Gmail, cerca "in:spam" o cerca nella cartella della posta indesiderata dall'applicazione di posta elettronica.

Informazioni correlate

Documentazione e supporto tecnico – Cisco Systems