簡介
本文檔介紹Google Workspace(以前稱為G Suite)和Gmail與Cisco Secure Email整合以實現入站和出站郵件傳送的步驟。本文檔適用於本地硬體、虛擬思科安全電子郵件網關和思科安全電子郵件雲網關。
必要條件
需求
思科建議您擁有對您環境的知識和管理訪問許可權:
- 思科安全電子郵件
- 對思科安全電子郵件網關或思科安全電子郵件雲網關環境的CLI訪問
- Google Workspace和Gmail
- SMTP
- DNS
對於Cisco Secure Email Cloud Gateway,歡迎函包括本文檔中需要的主機和IP資訊。如果您尚未收到或沒有歡迎函的副本,請聯絡ces-activations@cisco.com並提供您的姓名、聯絡資訊、公司名稱和域名。
思科安全電子郵件雲網關主機和IP地址專用於每個分配,並且不通知即不會更改。因此,您可以在Google Workspace(Gmail)配置中使用分配的主機和IP資訊。
附註:請在任何計畫的生產郵件轉換之前驗證配置更改,因為在Google Workspace控制檯中複製配置更改需要時間。請等候至少 1 小時的時間,以使所有變更生效。
配置Google Workspace(Gmail)
在Google Workspace(Gmail)中配置入站郵件(入站網關)
- 登入到Google管理控制檯(https://admin.google.com)
- 導航到Apps > Google Workspace
- 按一下Gmail
- 向下滾動並點選垃圾郵件、網路釣魚和惡意軟體
- 查詢Inbound Gateway,將滑鼠懸停在該網關上,然後按一下進行編輯
- 根據您的歡迎信中的資訊輸入所需的資訊:
- 選擇Enable
- 對於網關IP,按一下Add,輸入歡迎信中的所有IP地址,然後按一下Save。
- 選擇Automatically detect external IP(建議)
- 如果以下報頭regexp匹配,請選擇Message is as spam,然後為Regexp輸入x-ipas-suspect
- 按一下瀏覽器右下角的Save
將您在Google Workspace中的最終入站網關配置與:
注意:有關其他設定和問題,Google提供Google Workspace管理幫助:https://support.google.com/a/answer/60730?hl=en
在Cisco Secure Email中為Google Workspace(Gmail)配置入站郵件
目的地控制
在Destination Controls中配置傳遞域會實施自動限制。當然,您可以稍後刪除此目標控制,但由於您的Cisco安全電子郵件網關是Google的「新」IP,因此由於信譽未知,您不希望Google對其進行任何限制。
- 登入您的思科安全電子郵件網關
- 導覽至「郵件原則」>「目的地控制」
- 按一下「新增目的地」
- 使用以下值:
- 目標:您的域名
- 併發連線:使用預設值(500)
- 每次連線郵件數上限:使用預設值(50)
- 收件人:每分鐘最大為20個
- TLS 支援:偏好
- 按一下Submit
- 按一下UI右上角的Commit Changes以儲存配置更改。
收件者存取表
接著,設定網域的收件人存取表 (RAT) 以接受郵件:
- 導覽至「郵件原則」>「收件人存取表 (RAT)」
- 附註:如果配置了多個偵聽程式,請確保將「偵聽程式概述」設定為IncomingMail
- 按一下「新增收件人」
- 收件人地址:您的域名
- 主機名,如「example.com」、IPv4、IPv6
- 部分主機名,如".example.com"。
- 使用者名稱,如「admin@」。
- 完整的電子郵件地址,例如「joe@example.com」、「joe@[IPv4]」或「joe@[IPv6]」
- 用逗號分隔多個地址
- Action:選取預設動作「接受」
- 按一下Submit
- 按一下UI右上角的Commit Changes以儲存配置更改。
SMTP 路由
配置SMTP路由以將郵件從您的Cisco Secure Email網關傳送到Google Workspace(Gmail)域:
- 導覽至「網路」>「SMTP 路由」
- 按一下「新增路由...」
- 接收網域:您的域名
- 主機名:exchange.example.com
- 完整域:example.com
- 部分域:.example.com
- IPv4地址
- IPv6地址
- 目的地主機:新增下面提供的Google Workspace(Gmail)記錄,並根據需要新增其他行
- 按一下Submit
- 按一下UI右上角的Commit Changes以儲存配置更改。
Google Workspace(Gmail)目標SMTP主機:
優先順序機制 |
目的地 |
連接埠 |
1 |
aspmx.l.google.com |
25 |
5 |
alt1.aspmx.l.google.com |
25 |
5 |
alt2.aspmx.l.google.com |
25 |
10 |
alt3.aspmx.l.google.com |
25 |
10 |
alt2.aspmx.l.google.com |
25 |
入站郵件配置已完成!
DNS(MX 記錄)組態
您準備通過郵件交換(MX)記錄更改來剪下您的域。首先,請與DNS管理員合作,根據思科安全電子郵件歡迎信中的說明,將您的MX記錄解析為思科安全電子郵件網關的IP地址。
完成後,您可以在Google Workspace控制檯中驗證DNS更改,以瞭解Google看到您的域MX:
- 登入到Google管理控制檯(https://admin.google.com)
- 導航到Apps > Google Workspace
- 按一下Gmail
- 滾動至Setup,然後按一下檢視
- 將顯示當前的MX記錄,即Google如何提供與您的域關聯的DNS和MX記錄。
附註:如果更新或更改域DNS TTL,請允許傳播時間。
在Cisco Secure Email中為Google Workspace(Gmail)配置出站郵件
請參閱 Cisco Secure Email 歡迎信。此外,對於通過思科安全電子郵件網關的出站郵件,需要一個輔助介面。
- 登入您的思科安全電子郵件網關
- 導覽至「郵件原則」>「HAT 概觀」
- 附註:如果配置了多個偵聽程式,請確保將「發件人組(偵聽程式)」設定為傳出
- 按一下「新增寄件者群組...」
- 將寄件者群組設為:
- 名稱:RELAY_GMAIL
- 註釋:Gmail的發件人組和中繼
- 原則:RELAYED
- 按一下「提交並新增寄件者」
- 發件人: .google.com
- 附註:寄件者 (dot)在發件人域名開頭是必需的
- 配置示例:
- IPv4地址、子網、範圍
- IPv6地址、子網、範圍
- 主機名,例如example.com
- 部分主機名,如.example.com
- 按一下Submit
- 按一下UI右上角的Commit Changes以儲存配置更改。
將最終發件人組配置與:
在Google Workspace(Gmail)中配置出站郵件(入站網關)
- 登入到Google管理控制檯(https://admin.google.com)
- 導航到Apps > Google Workspace
- 按一下Gmail
- 向下滾動並按一下Routing
- 對於Outbound gateway,輸入「Outgoing Listener」或「OutgoingMail」的IP地址或主機名,然後按一下Save
- 按一下「Configure for Routing」
- 按如下所示配置路由:
- 說明:「CES-GMAIL_AUTH」,或輸入可在以後輕鬆識別的名稱
- 要影響的電子郵件:
- 對於以下型別的消息:
- 選擇,添加自定義信頭
- 附註:為防止通過Gmail傳送未經授權的郵件,當郵件離開您的Gmail域時,使用密碼x信頭;然後,思科安全電子郵件會對此信頭進行評估,並在將其傳送到Internet之前將其刪除
- 按一下「Add」,然後輸入:X-OUTBOUND-AUTH, mysecretkey
- 將「mysecretkey」替換為您選擇的金鑰;這將在下一節中使用。
- 按一下「Save」
將路由和出站網關配置與:
繼續配置出站郵件設定,然後訪問思科安全郵件網關的CLI。
注意:思科安全郵件雲網關?按一下此處獲取有關CLI訪問的更多資訊。
建立郵件過濾器以檢查出站郵件,檢查出站郵件中是否有我們剛從Google Workspace(Gmail)配置建立的x信頭的信頭和值。此郵件過濾器還會刪除存在信頭的信頭。如果報頭不存在,郵件過濾器將丟棄通過網關處理的出站郵件。
- 登入您的思科安全電子郵件網關
- 執行 Filters 命令
- 當所有思科安全電子郵件雲網關都已集群時,按return鍵在「集群」模式下編輯過濾器
- 使用New操作建立郵件過濾器,然後複製並貼上提供的代碼:
gmail_outbound: if sendergroup == "RELAY_GMAIL" {
if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
strip-header("X-OUTBOUND-AUTH");
} else {
drop();
}
}
- 請務必在前面的章節中用您選擇的金鑰編輯「mysecretkey」,用「^」(字串的開頭)和「$」(字串的結尾)編輯您的regex字串
- 點擊返回一次,以建立新的空白行
- 在新行上 (句點)在新行上,結束以設定新郵件篩選器
- 點擊返回一次,以退出「篩選器」功能表
- 執行 Commit 命令,以儲存組態變更
出站郵件配置已完成!
測試出站電子郵件
從您的Gmail管理的電子郵件地址撰寫出站郵件並將其傳送到外部域收件人。然後,您可以檢視郵件跟蹤,確保郵件被正確路由到出站。
x報頭不匹配的消息示例:
成功傳遞的郵件示例:
不進行思科安全電子郵件掃描的內部電子郵件路由[可選]
如果您希望將使用者間路由保留在Google Workspace(Gmail)內部[可選,但思科建議],請遵循以下說明:
- 登入到Google管理控制檯(https://admin.google.com)
- 導航到Apps > Google Workspace
- 按一下Gmail
- 按一下主機
- 按一下Add route
- 對於「新增郵件路由」彈出視窗:
- 頂線:「Internal routing without CES scanning」,或輸入可在以後輕鬆識別的名稱
- 指定電子郵件伺服器:多個主機
- 主要:aspmx.l.google.com,(埠)25,(負載%)100
- 輔助:alt1.aspmx.l.google.com, alt2.aspmx.l.google.com,(埠)25,(負載百分比)50
- 選項:
- 取消選中Require CA signed certificate(Recommended)
- 按一下「Save」
- 在主主機部分按一下Save
下一頁:
- 按一下Gmail設定
- 向下滾動並按一下Routing
- 在Routing部分,按一下Add Another Rule
- 對於「新增郵件路由」彈出視窗:
- 頂線:「Internal routing without CES scanning」,或輸入可在以後輕鬆識別的名稱
- 要影響的電子郵件:內部 — 傳送
- 對於以下型別的消息:
- 保留為修改消息
- 對於路由,選擇:更改路由並重新路由垃圾郵件
- 按一下「Show options」,然後向下滾動
- 對於「B」。要影響的帳戶型別「:用戶和組
- 對於「C.信封過濾器」:選擇僅影響特定信封發件人
- 選擇模式匹配
- 對於Regexp:.*您的域
- 附註:寄件者 域名開頭需要有(點)和「*」(星號)
- 按一下「Save」
測試內部路由郵件。使用相同的內部電子郵件域名向另一個收件人傳送電子郵件。
測試和驗證電子郵件傳送
撰寫郵件並將其傳送到您的Gmail管理電子郵件地址。然後,檢查它是否到達您的Gmail管理的電子郵件收件箱。
然後,在思科安全電子郵件中的郵件跟蹤中驗證郵件傳送。
- 登入您的網關(例如https://dhXXYY-esa1.iphmx.com/ng-login),或者如果您有Cisco Secure Manager(例如https://dhXXYY-sma1.iphmx.com/ng-login)
- 按一下「追蹤」
- 輸入郵件資訊搜尋條件(主題、信封收件人),然後按一下 搜尋; 返回的搜尋結果類似於:
要在Google Workspace(Gmail)中檢視郵件日誌:
- 登入到G Suite Admin控制檯(https://admin.google.com)
- 導航到報表
- 向下滾動,然後在右側選單中選擇Email Log Search
- 輸入所需的搜尋條件,然後按一下搜尋;結果類似於:
將可疑垃圾郵件傳送到Gmail垃圾郵件資料夾[可選]
如果您希望使用Cisco Secure Email將可疑垃圾郵件傳送到Gmail中的Spam資料夾:
- 登入您的思科安全電子郵件網關
- 導航到Mail Policies > Incoming Mail Policies
- 為策略名稱選擇Anti-Spam或使用「Default Policy」。
- 按一下Advanced檢視可疑的垃圾郵件設定
- 對於新增自定義信頭(可選),請插入x-ipas-suspect
- 附註:如果您不想通過思科安全郵件網關丟棄/隔離垃圾郵件,也可以將此設定配置為已識別垃圾郵件設定
將可疑垃圾郵件設定的最終反垃圾郵件設定與:
在Gmail管理的電子郵件中,搜尋「in:spam」,或者從電子郵件應用程式中查詢Spam資料夾。
相關資訊
技術支援與文件 - Cisco Systems