配置Google Workspace(Gmail)
目录
简介
本文档介绍Google Workspace(以前称为G Suite)和Gmail与思科安全电邮集成以实现入站和出站电邮传输的步骤。本文档适用于本地硬件、虚拟思科安全邮件网关和思科安全邮件云网关。
先决条件
要求
思科建议您拥有对环境的知识和管理访问权限:
- 思科安全电邮
- 对思科安全电邮网关或思科安全电邮云网关环境的CLI访问
- 思科安全电邮云网关?单击此处了解有关CLI访问的详细信息
- Google工作空间和Gmail
- SMTP
- DNS
对于思科安全电邮云网关,欢迎函包括本文档中所需的主机和IP信息。如果您尚未收到或没有欢迎信的副本,请联系ces-activations@cisco.com,提供您的姓名、联系信息、公司名称和域名。
思科安全电邮云网关主机和IP地址专用于每个分配,在不通知的情况下不会更改。因此,您可以在Google Workspace(Gmail)配置中使用分配的主机和IP信息。
配置Google Workspace(Gmail)
在Google Workspace(Gmail)中配置入站邮件(入站网关)
- 登录到Google管理控制台(https://admin.google.com)
- 导航至“应用”>“Google工作空间”
- 单击Gmail
- 向下滚动,然后点击垃圾邮件、网络钓鱼和恶意软件
- 查找入站网关,将鼠标悬停在上面,然后单击以编辑
- 根据您的欢迎信中的信息要求输入信息:
- 选择启用
- 对于网关IP,单击Add,在欢迎信中输入所有IP地址,然后单击Save。
- 选择Automatically detect external IP(recommended)
- 如果以下报头regexp匹配并为Regexp输入x-ipas-suspect,则选择Message is spem。
-
邮件标记配置是可选的,但建议使用,因为我们可以使用Gmail中的垃圾邮件文件夹和x报头
-
请参阅本文档后面的“将可疑垃圾邮件发送到Gmail垃圾邮件文件夹[可选]”
-
- 单击浏览器右下角的Save
将Google Workspace中的最终入站网关配置进行比较,以:
在思科安全邮件中配置Google工作空间(Gmail)的入站邮件
目的控制
在目标控制中配置传送域会实施自律限制。当然,您以后可以删除此目标控制,但是,由于您的思科安全电邮网关是Google的“新”IP,因此您不希望Google因其未知信誉而进行任何限制。
- 登录思科安全电邮网关
- 前往 Mail Policies(邮件策略) > Destination Controls(目的控制)
- 点击 Add Destination(添加目的 )
- 使用以下值:
- 目的地:您的域名
- 并发连接:使用默认值(500)
- Maximum Messages Per Connection(每个连接的最大邮件数):使用默认值(50)
- 收件人:每1分钟最多20次
- TLS Support(TLS 支持):Preferred(首选)
- 单击 Submit
- 单击UI右上角的Commit Changes以保存配置更改。
收件人访问表
接下来,设置收件人访问表 (RAT) 以接受发往您的域的邮件:
- 前往 Mail Policies(邮件策略)> Recipient Access Table(收件人访问表 [RAT])
- 注意:如果配置了多个侦听程序,请确保“侦听程序概述”设置为“传入邮件”
- 点击 Add Recipient(添加收件人)
- 收件人地址:您的域名
- 主机名,如“example.com”、IPv4、IPv6
- 部分主机名,如“.example.com”。
- 用户名,如“admin@”。
- 完整的电子邮件地址,如“joe@example.com”、“joe@[IPv4]”或“joe@[IPv6]”
- 用逗号分隔多个地址
- 操作:选择默认操作 Accept(接受)
- 单击 Submit
- 单击UI右上角的Commit Changes以保存配置更改。
SMTP 路由
配置SMTP路由,将邮件从思科安全邮件网关传送到Google Workspace(Gmail)域:
- 前往 Network(网络)> SMTP Routes(SMTP 路由)
- Click Add Route...(添加路由...)
- Receiving Domain(接收域):您的域名
- 主机名:exchange.example.com
- 完整域:example.com
- 部分域:.example.com
- IPv4地址
- IPv6地址
- 目的主机:添加下面提供的Google Workspace(Gmail)记录,并根据需要添加其他行
- 单击 Submit
- 单击UI右上角的Commit Changes以保存配置更改。
Google Workspace(Gmail)目标SMTP主机:
| 优先级 |
目标 |
端口 |
| 1 |
aspmx.l.google.com |
25 |
| 5 |
alt1.aspmx.l.google.com |
25 |
| 5 |
alt2.aspmx.l.google.com |
25 |
| 10 |
alt3.aspmx.l.google.com |
25 |
| 10 |
alt2.aspmx.l.google.com |
25 |
入站邮件配置已完成!
DNS(MX 记录)配置
您已准备好通过邮件交换(MX)记录更改切换域。首先,与您的DNS管理员合作,将您的MX记录解析为思科安全电邮网关的IP地址,如思科安全电邮欢迎信中所述。
完成后,您可以在Google Workspace控制台中验证对Google看到的域MX的DNS更改:
- 登录到Google管理控制台(https://admin.google.com)
- 导航至“应用”>“Google工作空间”
- 单击Gmail
- 滚动到“Setup(设置)”并单击查看
- 将显示当前MX记录,即Google如何提供与域关联的DNS和MX记录。
在思科安全邮件中配置Google工作空间(Gmail)的出站邮件
请参阅您的 Cisco Secure Email 欢迎函。此外,通过思科安全邮件网关出站邮件需要辅助接口。
- 登录思科安全电邮网关
- 前往 Policies(邮件策略 )> HAT Overview(HAT 概述)
- 注意:如果配置了多个侦听程序,请确保“发件人组(侦听程序)”设置为“传出”
- 点击 Add Sender Group...(添加发件人组...)
- 将发件人组配置为:
- 名称:RELAY_GMAIL
- 注释:Gmail的发件人组和中继
- Policy(策略):RELAYED(已中继)
- 点击 Submit and Add Senders(提交并添加发件人 )
- 发件人:.google.com
- 注意:“.” (dot)在发件人域名开头是必需的
- 配置示例:
- IPv4地址、子网、范围
- IPv6地址、子网、范围
- 主机名,如example.com
- 部分主机名,如.example.com
- 单击 Submit
- 单击UI右上角的Commit Changes以保存配置更改。
将最终的发件人组配置比较为:
在Google Workspace(Gmail)中配置出站邮件(入站网关)
- 登录到Google管理控制台(https://admin.google.com)
- 导航至“应用”>“Google工作空间”
- 单击Gmail
- 向下滚动并单击“Routing(路由)”
- 对于出站网关,输入“传出侦听程序”或“传出邮件”的IP地址或主机名,然后单击“保存”
- 单击“Configure for Routing”。
- 配置路由,如下所示:
- 描述:“CES-GMAIL_AUTH”或输入稍后容易识别的名称
- 要影响的邮件:
- 出站
- 内部 — 发送
- 对于以下类型的消息:
- 选择,添加自定义信头
- 注意:为防止未经授权的邮件通过您的Gmail发送,邮件离开您的Gmail域时会使用加密的x报头;然后,思科安全电邮会评估此报头,并在将其传送到互联网之前将其删除
- 单击Add并输入:X-OUTBOUND-AUTH,mysecretkey
- 用您选择的密钥替换“mysecretkey”;这将在下一节中使用。
- 点击保存
- 选择,添加自定义信头
- 配置路由,如下所示:
将路由和出站网关配置比较为:
继续配置出站邮件设置,并访问思科安全邮件网关的CLI。
创建邮件过滤器以检查出站邮件中我们刚从Google Workspace(Gmail)配置创建的x报头的报头和值。此邮件过滤器还会在信头存在时将其删除。如果报头不存在,邮件过滤器会丢弃通过网关处理的出站邮件。
- 登录思科安全电邮网关
- 运行 Filters(过滤器)命令
- 当所有思科安全邮件云网关都集群时,按回车键以“集群”模式编辑过滤器
- 使用“新建”操作创建邮件过滤器,然后复制并粘贴提供的代码:
gmail_outbound: if sendergroup == "RELAY_GMAIL" { if header("X-OUTBOUND-AUTH") == "^mysecretkey$" { strip-header("X-OUTBOUND-AUTH"); } else { drop(); } } - 请务必使用您在上一节中选择的键编辑“mysecretkey”,并为正则表达式字符串使用“^”(字符串开头)和“$”(字符串结尾)
- 按回车键一次以创建新的空白行
- 在新的一行上输入“.”, (句点),在新行结束,以生成新邮件过滤器
- 按回车键一次退出“Filters”(过滤器)菜单
- 运行 Commit(提交)命令以保存配置更改
出站邮件配置已完成!
测试出站电子邮件
撰写出站邮件,并将其从Gmail管理的电子邮件地址发送到外部域收件人。然后,您可以查看邮件跟踪,以确保邮件已正确路由出站。
x报头不匹配的消息示例:
成功传送的邮件示例:
不使用思科安全邮件扫描的内部邮件路由[可选]
如果希望将用户到用户路由保留在Google Workspace(Gmail)内部[可选,但思科建议],请遵循以下说明:
- 登录到Google管理控制台(https://admin.google.com)
- 导航至“应用”>“Google工作空间”
- 单击Gmail
- 单击“主机”
- 单击“添加路由”
- 对于“添加邮件路由”弹出窗口:
- 顶线:“内部路由,无CES扫描”,或输入稍后容易识别的名称
- 指定电子邮件服务器:多个主机
- 首选:aspmx.l.google.com,(端口)25,(负载%)100
- 辅助:alt1.aspmx.l.google.com、alt2.aspmx.l.google.com、(端口)25、(负载%)50
- 选项:
- 取消选中需要CA签名证书(推荐)
- 点击保存
- 单击主主机部分上的保存
下一步:
- 单击Gmail的设置
- 向下滚动并单击“Routing(路由)”
- 在“路由”(Routing)部分,单击“添加其他规则”(Add Another Rule)
- 对于“添加邮件路由”弹出窗口:
- 顶线:“内部路由,无CES扫描”,或输入稍后容易识别的名称
- 要影响的电子邮件:内部 — 发送
- 对于以下类型的消息:
- 保留为修改消息
- 对于路由,选择:更改路由并重新路由垃圾邮件
- 单击“显示选项”并向下滚动
- 对于“B.要影响的帐户类型”:用户和组
- 对于“C.信封过滤器”:选择仅影响特定信封发件人
- 选择模式匹配
- 对于Regexp:.*your_domain
- 注意:“.” 域名开头需要(点)和“*”(星号)
- 点击保存
测试内部路由邮件。向具有相同内部电子邮件域名的其他收件人发送电子邮件。
测试和验证电邮交付
撰写邮件并将其发送到Gmail管理的邮件地址。然后,检查它是否到达您的Gmail管理的电子邮件收件箱。
然后,在思科安全电邮中的邮件跟踪中验证邮件传送。
- 登录您的网关(例如https://dhXXYY-esa1.iphmx.com/ng-login),或者您有Cisco Secure Manager(例如https://dhXXYY-sma1.iphmx.com/ng-login)
- 点击 Tracking(跟踪)
- 输入您的邮件信息搜索条件(主题、信封收件人),然后点击 搜索 ; 返回的搜索结果类似于:
要在Google Workspace(Gmail)中查看邮件日志,请执行以下操作:
- 登录到G Suite管理控制台(https://admin.google.com)
- 导航至报告
- 向下滚动,在右侧菜单中,选择“电子邮件日志搜索”
- 输入所需的搜索条件并单击搜索;结果类似于:
将可疑垃圾邮件发送到Gmail垃圾邮件文件夹[可选]
如果您希望使用思科安全电邮将可疑垃圾邮件发送到Gmail中的垃圾邮件文件夹:
- 登录思科安全电邮网关
- 导航至“邮件策略”>“传入邮件策略”
- 为策略名称选择反垃圾邮件或使用“默认策略”。
- 单击“Advanced(高级)”查看“Suspected Spam Settings(可疑垃圾邮件设置)”
- 对于添加自定义信头(可选),请插入x-ipas-suspect
- 注意:如果您不想通过思科安全邮件网关丢弃/隔离垃圾邮件,也可以为“确定的垃圾邮件设置”配置此设置
将可疑垃圾邮件设置的最终反垃圾邮件设置与以下设置进行比较:
在Gmail管理的电子邮件中,搜索“in:spam”或从电子邮件应用程序中查看垃圾邮件文件夹。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
4.0 |
13-Jul-2022 |
更新不正确的屏幕截图、次要措辞和其他内容更正,以便清晰明了。 |
1.0 |
09-Aug-2019 |
初始版本 |
反馈