配置Google Workspace(Gmail)

简介

本文档介绍Google Workspace（以前称为G Suite）和Gmail与Cisco Secure Email集成的步骤，以便进行入站和出站邮件传送。本文档适用于本地硬件、虚拟思科安全邮件网关和思科安全邮件云网关。

先决条件

要求

Cisco建议您对您的环境具有知识和管理访问权限：

• 思科安全电子邮件
• 对思科安全邮件网关或思科安全邮件云网关环境的CLI访问
  • 思科安全电邮云网关？单击此处了解有关CLI访问的详细信息
• Google工作空间和Gmail
• SMTP
• DNS

对于思科安全电邮云网关，欢迎函包括本文档中需要的主机和IP信息。如果您尚未收到或没有欢迎函的副本，请联系ces-activations@cisco.com并提供您的姓名、联系信息、公司名称和域名。

思科安全邮件云网关主机和IP地址专用于每个分配，不通知即不会更改。因此，您可以在Google Workspace(Gmail)配置中使用分配的主机和IP信息。

注意：请在任何计划的生产邮件切换之前验证配置更改，因为在Google Workspace控制台中复制配置更改需要时间。至少要等待 1 小时，所有更改才会生效。

配置Google Workspace(Gmail)

在Google Workspace(Gmail)中配置入站邮件（入站网关）

1. 登录您的Google管理员控制台(https://admin.google.com)
2. 导航到应用> Google工作空间
3. 单击Gmail
4. 向下滚动并点击Spam、Phishing和Malware
5. 查找Inbound Gateway，将鼠标悬停在该网关上，然后单击进行编辑
6. 根据您的欢迎信中的信息输入所需信息：
   1. 选择Enable
   2. 对于网关IP，单击Add，在欢迎函中输入所有IP地址，然后单击Save。
   3. 选择Automatically detect external IP(recommended)
   4. 如果以下信头regexp匹配，则选择Message is deas spam，并为Regexp输入x-ipas-suspect

      • 邮件标记的配置是可选的，但建议使用，因为我们可以使用Gmail中包含x信头的垃圾邮件文件夹

      • 请参阅本文档后面的“将可疑垃圾邮件发送到Gmail垃圾邮件文件夹[可选]”

   5. 单击浏览器右下角的Save

将您在Google Workspace中的最终入站网关配置与：

注意：有关其他设置和问题，Google提供Google Workspace管理员帮助：https://support.google.com/a/answer/60730?hl=en

在Cisco Secure Email中为Google Workspace(Gmail)配置入站邮件

目的控制

在目标控制中配置传送域会执行自动调节。当然，您可以稍后删除此目标控制，但是由于您的Cisco安全电子邮件网关是Google的“新”IP，您不希望Google因其未知信誉进行任何限制。

1. 登录您的思科安全邮件网关
2. 前往 Mail Policies（邮件策略） > Destination Controls（目的控制）
3. 点击 Add Destination（添加目的 ）
4. 使用以下值：
   1. 目的地：您的域名
   2. 并发连接：使用默认值(500)
   3. Maximum Messages Per Connection（每个连接的最大邮件数）：使用默认值(50)
   4. 收件人：每分钟最大20个
   5. TLS Support（TLS 支持）:Preferred（首选）
5. 单击 Submit
6. 点击UI右上角的Commit Changes以保存配置更改。

收件人访问表

接下来，设置收件人访问表 (RAT) 以接受发往您的域的邮件：

1. 前往 Mail Policies（邮件策略）> Recipient Access Table（收件人访问表 [RAT]）
   • 注意：如果配置了多个侦听程序，请确保“侦听程序概述”设置为IncomingMail
2. 点击 Add Recipient（添加收件人）
3. 收件人地址：您的域名
   • 主机名，例如“example.com”、IPv4、IPv6
   • 部分主机名，例如“.example.com”。
   • 用户名，如“admin@”。
   • 完整的电邮地址，如“joe@example.com”、“joe@[IPv4]”或“joe@[IPv6]”
   • 多个地址之间用逗号分隔
4. 操作：选择默认操作 Accept（接受）
5. 单击 Submit
6. 点击UI右上角的Commit Changes以保存配置更改。    

SMTP 路由

配置SMTP路由以将邮件从思科安全电子邮件网关传送到Google Workspace(Gmail)域：

1. 前往 Network（网络）> SMTP Routes（SMTP 路由）
2. Click Add Route...（添加路由...）
3. Receiving Domain（接收域）：您的域名
   • 主机名:exchange.example.com
   • 完整域：example.com
   • 部分域：.example.com
   • IPv4地址
   • IPv6地址
4. 目的主机：添加下面提供的Google Workspace(Gmail)记录，并根据需要添加其他行
5. 单击 Submit
6. 点击UI右上角的Commit Changes以保存配置更改。 

Google Workspace(Gmail)目标SMTP主机：

入站邮件配置已完成！

DNS（MX 记录）配置

您已准备好通过邮件交换(MX)记录更改来剪切您的域。首先，请与DNS管理员合作，按照思科安全电邮欢迎函中的说明，将您的MX记录解析为思科安全电邮网关的IP地址。

完成后，您可以在Google Workspace控制台中验证DNS更改，以了解Google看到您的域MX:

1. 登录您的Google管理员控制台(https://admin.google.com)
2. 导航到应用> Google工作空间
3. 单击Gmail
4. 滚动到Setup并单击查看
5. 显示当前的MX记录，即Google如何提供与您的域关联的DNS和MX记录。

          

注意：如果更新或更改域DNS TTL，请等待传播时间。

在Cisco Secure Email中为Google Workspace(Gmail)配置出站邮件

请参阅您的 Cisco Secure Email 欢迎函。此外，对于通过思科安全邮件网关的出站邮件，需要一个辅助接口。

1. 登录您的思科安全邮件网关
2. 前往 Policies（邮件策略 ）> HAT Overview（HAT 概述）
   • 注意：如果配置了多个侦听程序，请确保“发件人组（侦听程序）”设置为Outgoing
3. 点击 Add Sender Group...（添加发件人组...）
4. 将发件人组配置为：
   1. 名称：RELAY_GMAIL
   2. 注释：Gmail的发件人组和中继
   3. Policy（策略）：RELAYED（已中继）
   4. 点击 Submit and Add Senders（提交并添加发件人 ）
   5. 发件人：.google.com
      • 注意：“.” (dot)在发件人域名的开头是必需的
      • 您的配置示例：
        • IPv4地址、子网、范围
        • IPv6地址、子网、范围
        • 主机名，例如example.com
        • 部分主机名，例如.example.com
   6. 单击 Submit
   7. 点击UI右上角的Commit Changes以保存配置更改。 

比较最终的发件人组配置：

在Google Workspace(Gmail)中配置出站邮件（入站网关）

1. 登录您的Google管理员控制台(https://admin.google.com)
2. 导航到应用> Google工作空间
3. 单击Gmail
4. 向下滚动并点击Routing
5. 对于Outbound gateway，输入“Outgoing Listener”或“OutgoingMail”的IP地址或主机名，然后单击Save
6. 单击Configure for Routing
   • 按如下所示配置路由：
     1. 描述:“CES-GMAIL_AUTH”，或输入稍后可以轻松识别的名称
     2. 要影响的电子邮件：
        • 出站
        • 内部 — 发送
     3. 对于以下类型的消息：
        • 选择，添加自定义信头
          • 注意：为防止通过Gmail发送未经授权的邮件，当邮件离开您的Gmail域时，使用加密的x信头；然后，思科安全邮件会评估此信头，并在将其删除后再将其传送至互联网
        • 单击Add并输入：X-OUTBOUND-AUTH, mysecretkey
          • 将“mysecretkey”替换为您选择的密钥；这将在下一节中使用。
        • 点击保存

将您的路由和出站网关配置与：

继续配置出站邮件设置，并访问思科安全邮件网关的CLI。

注意：思科安全电邮云网关？单击此处了解有关CLI访问的详细信息。

创建邮件过滤器以检查出站邮件，查找我们刚从Google Workspace(Gmail)配置创建的x信头的信头和值。此邮件过滤器还会删除存在信头的信头。如果报头不存在，邮件过滤器将丢弃通过网关处理的出站邮件。

1. 登录您的思科安全邮件网关
2. 运行 Filters（过滤器）命令
3. 由于所有思科安全邮件云网关都已集群，请点击return以在“集群”模式下编辑过滤器
4. 使用New操作创建邮件过滤器，然后复制并粘贴提供的代码：

   gmail_outbound: if sendergroup == "RELAY_GMAIL" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }​

5. 请务必使用上一节中您选择的密钥编辑“mysecretkey”，并使用“^”（字符串的开头）和“$”（字符串的结尾）作为您的正则表达式字符串
6. 按回车键一次以创建新的空白行
7. 在新的一行上输入“.”， （句点）在新行上，结束以设置新的邮件过滤器
8. 按回车键一次退出“Filters”（过滤器）菜单
9. 运行 Commit（提交）命令以保存配置更改

出站邮件配置已完成！

测试出站邮件

从您的Gmail管理的电子邮件地址撰写出站邮件并将其发送到外部域收件人。然后，您可以查看“邮件跟踪”(Message Tracking)，确保邮件已正确路由到出站。

x报头不匹配的消息示例：

成功传递的邮件示例：

内部邮件路由，无思科安全邮件扫描[可选]

如果您希望将用户到用户路由保留在Google Workspace(Gmail)内部[可选，但思科建议]，请遵循以下说明：

1. 登录您的Google管理员控制台(https://admin.google.com)
2. 导航到应用> Google工作空间
3. 单击Gmail
4. 单击Hosts
5. 单击Add route
6. 对于“添加邮件路由”(Add mail route)弹出窗口： 
   1. 顶行：“内部路由，无CES扫描”，或输入可在以后轻松识别的名称
   2. 指定电子邮件服务器：多台主机
      • 首选：aspmx.l.google.com、（端口）25、（负载%）100
      • 辅助：alt1.aspmx.l.google.com、alt2.aspmx.l.google.com、（端口）25、（负载百分比）50
   3. 选项:
      • 取消选中Require CA signed certificate(Recommended)
   4. 点击保存
7. 在主Hosts部分上单击Save

下一步:

1. 点击Gmail设置
2. 向下滚动并点击Routing
3. 在Routing部分，点击Add Another Rule
4. 对于“添加邮件路由”(Add mail route)弹出窗口：
   1. 顶行：“内部路由，无CES扫描”，或输入可在以后轻松识别的名称
   2. 要影响的电子邮件：内部 — 发送
   3. 对于以下类型的消息：
      • 保留为修改消息
      • 对于Route，选择：更改路由并重新路由垃圾邮件
   4. 单击Show options并向下滚动
   5. 对于“B”。要影响“ ”的帐户类型：用户和组
   6. 对于“C.信封过滤器”：选择仅影响特定信封发件人
      • 选择模式匹配
      • 对于Regexp:.*您的域
        • 注意：“.” （点）和域名开头的“*”（星号）为必填项
   7. 点击保存

测试内部路由邮件。使用相同的内部电子邮件域名向另一个收件人发送电子邮件。

测试和验证电子邮件传送

撰写邮件并将其发送到您的Gmail管理电邮地址。然后，检查邮件是否到达Gmail管理的电子邮件收件箱。

然后，在思科安全邮件中的邮件跟踪中验证邮件传送。

1. 登录您的网关(例如https://dhXXYY-esa1.iphmx.com/ng-login)，或者如果您有思科安全管理器(例如https://dhXXYY-sma1.iphmx.com/ng-login)
2. 点击 Tracking（跟踪）
3. 输入邮件信息搜索条件（主题、信封收件人），然后单击搜索；返回的搜索结果类似于：

要在Google Workspace(Gmail)中查看邮件日志，请执行以下操作：

1. 登录到G Suite Admin控制台(https://admin.google.com)
2. 导航到报告
3. 向下滚动，然后在右侧菜单中选择Email Log Search
4. 输入所需的搜索条件，然后单击Search；结果类似于：

将可疑垃圾邮件发送到Gmail垃圾邮件文件夹[可选]

如果您希望使用思科安全电子邮件将可疑垃圾邮件发送到Gmail中的垃圾邮件文件夹：

1. 登录您的思科安全邮件网关
2. 导航到邮件策略>传入邮件策略
3. 为策略名称选择Anti-Spam或使用“默认策略”。
4. 单击Advanced查看可疑垃圾邮件设置
5. 对于添加自定义信头(可选)，请插入x-ipas-suspect
   • 注意：如果您不想通过思科安全邮件网关丢弃/隔离垃圾邮件，也可以为已确认的垃圾邮件设置配置此设置

比较可疑垃圾邮件设置的最终反垃圾邮件设置，以便：

在Gmail管理的电子邮件中，搜索“in:spam”或从电子邮件应用程序中查找“Spam”文件夹。

相关信息

技术支持和文档 - Cisco Systems