Inleiding
Dit document beschrijft de stappen voor Google Workspace (voorheen bekend als G Suite) en Gmail integratie met Cisco Secure Email voor inkomende en uitgaande e-mail levering. Dit document is van toepassing op on-premises hardware, virtuele Cisco Secure Email Gateway en Cisco Secure Email Cloud Gateway.
Voorwaarden
Vereisten
Cisco raadt u aan de kennis en administratieve toegang tot uw omgeving te hebben:
- Cisco Secure Email
- CLI-toegang tot uw Cisco Secure Email Gateway of Cisco Secure Email Cloud Gateway-omgeving
- Google Workspace en Gmail
- SMTP
- DNS
Voor Cisco Secure Email Cloud Gateway bevat uw welkomstbrief uw host- en IP-informatie die in dit document nodig is. Als u geen kopie van de welkomstbrief hebt ontvangen of niet hebt, neem dan contact op met ces-activations@cisco.com met uw naam, contactgegevens, bedrijfsnaam en domeinnaam.

De Cisco Secure Email Cloud Gateway-host en IP-adressen worden toegewezen aan elke toewijzing en worden niet zonder kennisgeving gewijzigd. Daarom kunt u de toegewezen host- en IP-informatie gebruiken in uw Google Workspace (Gmail) -configuratie.
Opmerking: Valideer configuratiewijzigingen voordat u een geplande productiemailonderbreking uitvoert, omdat het tijd kost om configuratiewijzigingen te repliceren in de Google Workspace-console. Reken minimaal één uur voordat alle wijzigingen zijn doorgevoerd.
Google Workspace configureren (Gmail)
Inkomende e-mail configureren (Inkomende gateway) in Google Workspace (Gmail)
- Log in op uw Google Admin-console (https://admin.google.com)
- Navigeer naar Apps > Google Workspace
- Klik op Gmail
- Scroll naar beneden en klik op spam, phishing en malware
- Zoek naar Inbound Gateway, houd de muisaanwijzer erboven en klik om te bewerken
- Voer de informatie in zoals vereist op basis van de informatie in uw welkomstbrief:
- Selecteer Inschakelen
- Klik voor Gateway-IP's op Toevoegen, voer alle IP-adressen in uw welkomstbrief in en klik op Opslaan.
- Selecteer Externe IP automatisch detecteren (aanbevolen)
- Selecteer Bericht wordt als spam beschouwd als de volgende koptekst overeenkomt met regexp en voer x-ipas-verdachte in voor de Regexp
-
Configuratie voor het coderen van berichten is optioneel, maar wordt aanbevolen, omdat we de map Spam in Gmail kunnen gebruiken met een x-header
-
Zie Verdachte spam verzenden naar Gmail Spam Folder [Optioneel] verderop in dit document
- Klik op Opslaan rechtsonder in uw browser
Vergelijk uw definitieve Inbound Gateway-configuratie in Google Workspace met:

Opmerking: voor aanvullende instellingen en vragen biedt Google Google Workspace Admin Help: https://support.google.com/a/answer/60730?hl=en
Inkomende e-mail configureren voor uw Google Workspace (Gmail) in Cisco Secure Email
Besturingselementen voor bestemming
De configuratie van een leveringsdomein in Bestemmingscontroles legt een zelfgasklep op. Natuurlijk kunt u deze Bestemmingscontrole later verwijderen, maar omdat uw Cisco Secure Email-gateways "nieuwe" IP's voor Google zijn, wilt u geen beperking door Google vanwege hun onbekende reputatie.
- Meld u aan bij uw Cisco Secure Email Gateway
- Ga naar Mail Policies > Destination Controls (E-mailbeleid > Besturingselementen voor bestemming)
- Klik op Add Destination (Bestemming toevoegen)
- Gebruik deze waarden:
- Bestemming: uw domeinnaam
- Gelijktijdige verbindingen: standaard gebruiken (500)
- Maximum aantal berichten per verbinding: standaard gebruiken (50)
- Ontvangers: maximaal 20 per 1 minuut
- TLS-ondersteuning: voorkeur
- Klik op Submit (Verzenden)
- Klik op Wijzigingen vastleggen in de rechterbovenhoek van de gebruikersinterface om uw configuratiewijzigingen op te slaan.
Toegangstabel voor ontvangers
Stel vervolgens de Recipient Access Table (RAT ofwel Toegangstabel voor ontvangers) in om e-mail voor uw domeinen te accepteren:
- Ga naar Mail Policies > Recipient Access Table (RAT) (E-mailbeleid > Toegangstabel voor ontvangers (RAT))
- Opmerking: zorg ervoor dat "Overzicht voor luisteraar" is ingesteld op IncomingMail als u meerdere luisteraars hebt geconfigureerd
- Klik op Add Recipient (Ontvanger toevoegen)
- Adres ontvanger: uw domeinnaam
- Hostnamen zoals "example.com", IPv4, IPv6
- Gedeeltelijke hostnamen zoals ".example.com."
- Gebruikersnamen zoals "admin@."
- Volledige e-mailadressen zoals "joe@example.com", "joe@[IPv4]" of "joe@[IPv6]"
- Meerdere adressen scheiden met komma's
- Actie: Selecteer de standaardactie van Accepteren
- Klik op Submit (Verzenden)
- Klik op Wijzigingen vastleggen in de rechterbovenhoek van de gebruikersinterface om uw configuratiewijzigingen op te slaan.
SMTP-routes
Configureer de SMTP-route om e-mail van uw Cisco Secure Email-gateway(s) naar uw Google Workspace (Gmail)-domein te verzenden:
- Ga naar Network > SMTP Routes (Netwerk > SMTP-routes)
- Klik op Add Route... (Route toevoegen)
- Ontvangend domein: uw domeinnaam
- Hostnaam: exchange.example.com
- Volledig domein: example.com
- Gedeeltelijk domein: .example.com
- IPv4-adres
- IPv6-adres
- Bestemmingshassts: voeg de onderstaande Google Workspace-records (Gmail) toe en voeg indien nodig extra rijen toe
- Klik op Submit (Verzenden)
- Klik op Wijzigingen vastleggen in de rechterbovenhoek van de gebruikersinterface om uw configuratiewijzigingen op te slaan.
Google Workspace (Gmail) SMTP-bestemmingshosts:
Prioriteit
|
Bestemming
|
Port
|
1
|
aspmx.l.google.com
|
25
|
5
|
alt1.aspmx.l.google.com
|
25
|
5
|
alt2.aspmx.l.google.com
|
25
|
10
|
alt3.aspmx.l.google.com
|
25
|
10
|
alt2.aspmx.l.google.com
|
25
|
De configuratie van de inkomende e-mail is voltooid.
Configuratie van DNS (MX-record)
U bent klaar om uw domein door te knippen via een recordwijziging in Mail Exchange (MX). Werk eerst samen met uw DNS-beheerder om uw MX-records op te lossen naar de IP-adressen voor uw Cisco Secure Email Gateway(s), zoals aangegeven in uw welkomstbrief voor Cisco Secure Email.
Zodra dat is voltooid, kunt u de DNS-wijzigingen in de Google Workspace-console controleren met betrekking tot wat Google ziet uw domein MX:
- Log in op uw Google Admin-console (https://admin.google.com)
- Navigeer naar Apps > Google Workspace
- Klik op Gmail
- Blader naar Instellen en klik om te bekijken
- De huidige MX-records, hoe Google uw DNS- en MX-records levert die aan uw domein zijn gekoppeld, worden weergegeven.
Opmerking: Geef tijd voor propagatie als u uw domein-DNS TTL bijwerkt of wijzigt.
Outbound Mail configureren voor uw Google Workspace (Gmail) in Cisco Secure Email
Raadpleeg uw welkomstbrief van Cisco Secure Email. Daarnaast is een secundaire interface nodig voor uitgaande berichten via uw Cisco Secure Email Gateway.
- Meld u aan bij uw Cisco Secure Email Gateway
- Ga naar Mail Policies > HAT Overview (E-mailbeleid > HAT Overzicht)
- Opmerking: zorg ervoor dat de "Afzendergroepen (Listener)" is ingesteld op Uitgaand als u meerdere Listeners hebt geconfigureerd
- Klik op Add Sender Group... (Afzendersgroep toevoegen)
- Configureer de afzendersgroep als volgt:
- Naam: RELAY_GMAIL
- Reactie: Sender Group & Relay voor Gmail
- Beleid: GERELATEERD
- Klik op Submit and Add Senders (Afzenders verzenden en toevoegen)
- Afzender: .google.com
- Opmerking: De "." (punt) aan het begin van de afzender domeinnaam is vereist
- Voorbeelden voor uw configuratie:
- IPv4-adressen, subnetten, bereiken
- IPv6-adressen, subnetten, bereiken
- Hostnamen zoals example.com
- Gedeeltelijke hostnamen zoals .example.com
- Klik op Submit (Verzenden)
- Klik op Wijzigingen vastleggen in de rechterbovenhoek van de gebruikersinterface om uw configuratiewijzigingen op te slaan.
Vergelijk uw uiteindelijke Sender Group-configuratie met:

Outbound Mail (Inbound Gateway) configureren in Google Workspace (Gmail)
- Log in op uw Google Admin-console (https://admin.google.com)
- Navigeer naar Apps > Google Workspace
- Klik op Gmail
- Scroll naar beneden en klik op Routing
- Voer voor de uitgaande gateway het IP-adres of de hostnaam van uw "uitgaande luisteraar" of "uitgaande e-mail" in en klik op Opslaan
- Klik op Configureren voor routering
- Configureer de routering als volgt:
- Beschrijving: "CES-GMAIL_AUTH", of voer een naam in die later gemakkelijk kan worden geïdentificeerd
- E-mailberichten die van invloed zijn op:
- uitgaand
- Intern - Verzenden
- Voor dit soort berichten:
- Selecteren, aangepaste kopteksten toevoegen
- Opmerking: om ongeautoriseerde berichten via uw Gmail te voorkomen, wordt een geheime x-header gebruikt wanneer berichten uw Gmail-domein verlaten; deze header wordt vervolgens geëvalueerd door Cisco Secure Email en verwijderd voordat deze naar internet wordt verzonden
- Klik op Toevoegen en voer in: X-OUTBOUND-AUTH, mysecretkey
- Vervang "mysecretkey" door een sleutel naar keuze; dit wordt gebruikt in de volgende sectie.
- Klik op Opslaan
Vergelijk uw Routing- en Outbound Gateway-configuratie met:

Ga door met de configuratie van de instellingen voor uitgaande e-mail en ga naar de CLI voor uw Cisco Secure Email-gateway.
Opmerking: Cisco Secure Email Cloud Gateway? Klik hier voor meer informatie over CLI-toegang.
Maak een berichtenfilter om uitgaande berichten te inspecteren op de header en de waarde van de x-header die we zojuist hebben gemaakt vanuit de Google Workspace (Gmail) -configuratie. Dit berichtenfilter verwijdert ook de koptekst wanneer deze bestaat. Het berichtenfilter laat het uitgaande bericht dat via uw Gateway wordt verwerkt, vallen als de header niet aanwezig is.
- Meld u aan bij uw Cisco Secure Email Gateway
- Voer de opdracht Filters uit
- Aangezien alle Cisco Secure Email Cloud-gateways zijn geclusterd, drukt u op Terug om de filters in de modus "Cluster" te bewerken
- Gebruik de bewerking Nieuw om een berichtenfilter te maken en kopieer en plak de opgegeven code:
gmail_outbound: if sendergroup == "RELAY_GMAIL" {
if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
strip-header("X-OUTBOUND-AUTH");
} else {
drop();
}
}
- Zorg ervoor dat u de "mysecretkey" met de sleutel van uw keuze bewerkt volgens de vorige sectie, met "^" (begin van string) en "$" (einde van de string) voor uw regex string
- Druk één keer op Enter om een nieuwe lege regel te maken
- Voer "." (punt) in op de nieuwe regel om te eindigen om uw nieuwe berichtenfilter te maken
- Druk één keer op Enter om het menu Filters te sluiten
- Voer de opdracht Commit (Doorvoeren) uit om de wijzigingen in de configuratie op te slaan
De configuratie van uitgaande e-mail is voltooid.
Uitgaande e-mail testen
Stel een uitgaand bericht samen en stuur het vanaf uw door Gmail beheerde e-mailadres naar een externe domeinontvanger. Vervolgens kunt u Berichtentracering bekijken om ervoor te zorgen dat deze correct naar buiten is geleid.
Voorbeeld van een bericht waarbij de x-header niet overeenkomt:

Voorbeeld van een bericht met succesvolle levering:

Interne e-mailroutering zonder Cisco Secure Email Scanning [Optioneel]
Als u de routering van gebruiker naar gebruiker intern in Google Workspace (Gmail) wilt houden [Optioneel, maar aanbevolen door Cisco], volgt u de onderstaande instructies:
- Log in op uw Google Admin-console (https://admin.google.com)
- Navigeer naar Apps > Google Workspace
- Klik op Gmail
- Klik op hosts
- Klik op Route toevoegen
- Voor het pop-upvenster E-mailroute toevoegen:
- Bovenste regel: "Interne routering zonder CES-scanning", of voer een naam in die later gemakkelijk kan worden geïdentificeerd
- E-mailserver opgeven: Meerdere hosts
- Primair: aspmx.l.google.com, (poort) 25, (belasting %) 100
- Secundair: alt1.aspmx.l.google.com, alt2.aspmx.l.google.com, (poort) 25, (Load%) 50
- Opties:
- Ongedaan maken van controle Certificaat vereist door certificeringsinstantie (aanbevolen)
- Klik op Opslaan
- Klik op Opslaan in het hoofdgedeelte Hosts
Volgende:
- Klik op Instellingen voor Gmail
- Scroll naar beneden en klik op Routing
- Klik in het gedeelte Routering op Nog een regel toevoegen
- Voor het pop-upvenster E-mailroute toevoegen:
- Bovenste regel: "Interne routering zonder CES-scanning", of voer een naam in die later gemakkelijk kan worden geïdentificeerd
- Van invloed zijnde e-mailberichten: Intern - Verzenden
- Voor dit soort berichten:
- Bericht Als wijzigen achterlaten
- Selecteer voor Route: Route wijzigen en spam ook omleiden
- Klik op Opties weergeven en scroll naar beneden
- Voor "B. Accounttype beïnvloeden": Gebruikers en groepen
- Voor "C. Envelopefilter": Selecteer Alleen invloed op specifieke envelopafzenders
- Patroonovereenkomst selecteren
- Voor Regexp: .*your_domain
- Opmerking: De "." (punt) en "*" (sterretje) aan het begin van de domeinnaam zijn vereist
- Klik op Opslaan
Interne routeringsmail testen. Stuur een e-mail naar een andere ontvanger met dezelfde interne e-maildomeinnaam.
E-maillevering testen en valideren
Stel een bericht op en stuur dit naar uw door Gmail beheerde e-mailadres. Controleer vervolgens of het in uw Gmail-beheerde e-mailinbox aankomt.
Valideer vervolgens de levering van berichten in Berichtentracering binnen Cisco Secure Email.
- Meld u aan bij uw Gateway (bijv. https://dhXXYY-esa1.iphmx.com/ng-login) of als u een Cisco Secure Manager hebt (bijv. https://dhXXYY-sma1.iphmx.com/ng-login)
- Klik op Tracking (Volgen)
- Voer de zoekcriteria voor berichtinformatie in (Onderwerp, Ontvanger van enveloppe) en klik op Zoeken. De zoekresultaten die worden geretourneerd, zijn vergelijkbaar met:

Om maillogs te bekijken in Google Workspace (Gmail):
- Log in op de beheerdersconsole van G Suite (https://admin.google.com)
- Navigeer naar Rapporten
- Blader omlaag en selecteer Zoeken in e-maillogboek in het rechtermenu
- Voer de benodigde zoekcriteria in en klik op Zoeken; de resultaten zijn vergelijkbaar met:

Verdachte spam verzenden naar Gmail Spam Folder [Optioneel]
Als u Cisco Secure Email wilt gebruiken om vermoedelijke spam naar de map Spam in Gmail te verzenden:
- Meld u aan bij uw Cisco Secure Email Gateway
- Navigeer naar E-mailbeleid > Beleid voor inkomende e-mail
- Selecteer Anti-Spam voor de naam van het beleid of gebruik het standaardbeleid.
- Klik op Geavanceerd voor instellingen voor vermoedelijke spam
- Voor Aangepaste koptekst toevoegen (optioneel), x-ipas-suspect invoegen
- Opmerking: Dit kan ook worden geconfigureerd voor Positief geïdentificeerde spam-instellingen als u geen spam wilt laten vallen/in quarantaine plaatsen via de Cisco Secure Email Gateway
Vergelijk uw definitieve anti-spam-instellingen voor verdachte spam met:

Zoek in uw door Gmail beheerde e-mail naar "in: spam" of zoek in de map Spam vanuit uw e-mailtoepassing.
Gerelateerde informatie
Technische ondersteuning en documentatie – Cisco Systems