配置Google Workspace (Gmail)

简介

本文档介绍Google Workspace（以前称为G Suite）和Gmail与Cisco Secure Email集成的步骤，以便进行入站和出站邮件传输。本文档适用于本地硬件、虚拟思科安全邮件网关和思科安全邮件云网关。

先决条件

要求

Cisco建议您对您的环境具有知识和管理访问权限：

• 思科安全电邮
• 对思科安全邮件网关或思科安全邮件云网关环境的CLI访问
  • 思科安全电邮云网关？点击此处了解有关CLI访问的更多信息
• Google工作空间和Gmail
• SMTP
• DNS

对于Cisco Secure Email Cloud Gateway，欢迎信包括本文档中需要的主机和IP信息。如果您尚未收到或没有欢迎函副本，请联系ces-activations@cisco.com并提供您的姓名、联系信息、公司名称和域名。

     

思科安全电邮云网关主机和IP地址专用于每个分配，并且不发送通知即进行更改。因此，您可以在Google Workspace (Gmail)配置中使用分配的主机和IP信息。

     

注意：在任何计划的生产邮件转换之前，请验证配置更改，因为在Google Workspace控制台中复制配置更改需要时间。至少要等待 1 小时，所有更改才会生效。

     

     

配置Google Workspace (Gmail)

在Google Workspace (Gmail)中配置入站邮件（入站网关）

1. 登录您的Google Admin控制台(https://admin.google.com)
2. 导航到应用> Google工作空间
3. 点击Gmail
4. 向下滚动并单击垃圾邮件、网络钓鱼和恶意软件
5. 查找入站网关，将鼠标悬停在该网关上方，然后单击编辑
6. 根据要求输入欢迎信中的信息提供的信息：
   1. 选择启用
   2. 对于网关IP，单击Add，输入欢迎信中的所有IP地址，然后单击Save。
   3. 选择自动检测外部IP（推荐）
   4. 选择如果以下报头regexp匹配，则邮件被视为垃圾邮件，并为Regexp输入x-ipas-suspect

      • 邮件标记的配置是可选的，但建议使用，因为我们可以使用Gmail中带有x信头的垃圾邮件文件夹

      • 请参阅本文档后面的“将可疑垃圾邮件发送到Gmail垃圾邮件文件夹[可选]”

   5. 单击浏览器右下角的Save

     

将您在Google Workspace中的最终入站网关配置与：

          

注意：有关其他设置和问题，Google提供Google Workspace管理帮助：https://support.google.com/a/answer/60730?hl=en

     

     

在Cisco Secure邮件中配置Google Workspace (Gmail)的入站邮件

     

目的控制

在目标控制中配置传送域会强制实施自动限制。当然，您可以稍后移除此目标控制，但由于您的Cisco安全电子邮件网关是Google的“新”IP，因此由于信誉未知，您不希望Google对其进行任何限制。

1. 登录您的Cisco安全电子邮件网关
2. 前往 Mail Policies（邮件策略） > Destination Controls（目的控制）
3. 点击 Add Destination（添加目的 ）
4. 请使用以下值：
   1. 目标：您的域名
   2. 并发连接：使用默认值(500)
   3. 每个连接的最大邮件数：使用默认值(50)
   4. 收件人：每1分钟最多20个
   5. TLS支持：首选
5. 单击 Submit
6. 单击UI右上方的Commit Changes以保存配置更改。

     

收件人访问表

接下来，设置收件人访问表 (RAT) 以接受发往您的域的邮件：

1. 前往 Mail Policies（邮件策略）> Recipient Access Table（收件人访问表 [RAT]）
   • 注意：如果已配置多个侦听程序，请确保将“Overview for Listener”设置为IncomingMail
2. 点击 Add Recipient（添加收件人）
3. 收件人地址：您的域名
   • 主机名，例如“example.com”、IPv4、IPv6
   • 部分主机名，例如“.example.com”。
   • 用户名，如“admin@”。
   • 完整的邮件地址，例如“joe@example.com”、“joe@[IPv4]”或“joe@[IPv6]”
   • 多个地址之间用逗号分隔
4. 操作(Action)：选择默认操作接受(Accept)
5. 单击 Submit
6. 单击UI右上方的Commit Changes以保存配置更改。    

     

SMTP 路由

配置SMTP路由以将邮件从您的Cisco安全电子邮件网关传送到Google Workspace (Gmail)域：

1. 前往 Network（网络）> SMTP Routes（SMTP 路由）
2. Click Add Route...（添加路由...）
3. 接收域：您的域名
   • 主机名：exchange.example.com
   • 完整域：example.com
   • 部分域：.example.com
   • IPv4地址
   • IPv6地址
4. 目标主机：添加下面提供的Google Workspace (Gmail)记录，并根据需要添加其他行
5. 单击 Submit
6. 单击UI右上方的Commit Changes以保存配置更改。 

     

     

Google工作空间(Gmail)目标SMTP主机：

优先级	目的地	端口
1	aspmx.l.google.com	25
5	alt1.aspmx.l.google.com	25
5	alt2.aspmx.l.google.com	25
10	alt3.aspmx.l.google.com	25
10	alt2.aspmx.l.google.com	25

     

     

入站邮件配置已完成！

     

     

DNS（MX 记录）配置

您已准备好通过邮件交换(MX)记录更改来剪切您的域。首先，请与DNS管理员合作，按照思科安全邮件欢迎信中的说明，将您的MX记录解析为思科安全邮件网关的IP地址。

完成此操作后，您可以在Google Workspace控制台中验证DNS更改，以了解Google看到您的域MX的内容：

1. 登录您的Google Admin控制台(https://admin.google.com)
2. 导航到应用> Google工作空间
3. 点击Gmail
4. 滚动到Setup并单击View
5. 将显示当前的MX记录，即Google如何提供与域关联的DNS和MX记录。

          

注意：如果更新或更改域DNS TTL，请为传播留出时间。

     

     

在Cisco Secure邮件中配置Google Workspace (Gmail)的出站邮件

请参阅您的 Cisco Secure Email 欢迎函。此外，对于通过思科安全邮件网关发出的出站邮件，需要一个辅助接口。

1. 登录您的Cisco安全电子邮件网关
2. 前往 Policies（邮件策略 ）> HAT Overview（HAT 概述）
   • 注意：如果配置了多个侦听程序，请确保“Sender Groups (Listener)”设置为Outgoing
3. 点击 Add Sender Group...（添加发件人组...）
4. 将发件人组配置为：
   1. 名称：RELAY_GMAIL
   2. 注释：Gmail的发件人组和中继
   3. 策略：中继
   4. 点击 Submit and Add Senders（提交并添加发件人 ）
   5. 发件人：.google.com
      • 注意：发件人域名开头的“。”（点）为必填项
      • 您的配置示例：
        • IPv4地址、子网、范围
        • IPv6地址、子网、范围
        • 主机名，例如example.com
        • 部分主机名，例如.example.com
   6. 单击 Submit
   7. 单击UI右上方的Commit Changes以保存配置更改。 

     

将您的最终发件人组配置与：

     

     

在Google Workspace (Gmail)中配置出站邮件（入站网关）

1. 登录您的Google Admin控制台(https://admin.google.com)
2. 导航到应用> Google工作空间
3. 点击Gmail
4. 向下滚动并单击Routing
5. 对于Outbound gateway，输入“Outgoing Listener”或“OutgoingMail”的IP地址或主机名，然后单击Save
6. 单击Configure for Routing
   • 按如下所示配置路由：
     1. 说明：“CES-GMAIL_AUTH”，或输入一个便于稍后识别的名称
     2. 要影响的电子邮件：
        • 出站
        • 内部-发送
     3. 对于这些类型的消息：
        • 选择，添加自定义信头
          • 注意：为了防止通过Gmail发送未经授权的邮件，当邮件离开您的Gmail域时，将使用密码x信头；然后，思科安全邮件会评估此信头，并在发送到互联网之前将其删除
        • 点击Add，然后输入：X-OUTBOUND-AUTH、mysecretkey
          • 使用您选择的密钥替换“mysecretkey”；这将在下一部分中使用。
        • 点击保存

     

将您的路由和出站网关配置与：

继续配置出站邮件设置，并访问思科安全邮件网关的CLI。

     

注意：思科安全电邮云网关？点击此处了解有关CLI访问的更多信息。

     

创建邮件过滤器以检查出站邮件，查找我们刚从Google Workspace (Gmail)配置创建的x信头的信头和值。如果信头存在，此邮件过滤器也会删除信头。如果信头不存在，邮件过滤器将丢弃通过网关处理的出站邮件。

1. 登录您的Cisco安全电子邮件网关
2. 运行 Filters（过滤器）命令
3. 由于所有思科安全邮件云网关都已集群，请点击return以在“集群”模式下编辑过滤器
4. 使用New操作创建邮件过滤器，然后复制并粘贴提供的代码：

   gmail_outbound: if sendergroup == "RELAY_GMAIL" {
   if header("X-OUTBOUND-AUTH") == "^mysecretkey$" {
   strip-header("X-OUTBOUND-AUTH");
   } else {
   drop();
   }
   }​

5. 请确保根据上一节使用您选择的密钥编辑“mysecretkey”，并使用“^”（字符串的开头）和“$”（字符串的结尾）作为正则表达式字符串
6. 按回车键一次以创建新的空白行
7. 在要结束的新行上输入“。”（句点）以设置新的邮件过滤器
8. 按回车键一次退出“Filters”（过滤器）菜单
9. 运行 Commit（提交）命令以保存配置更改

     

     

出站邮件配置已完成！

     

     

测试出站邮件

撰写出站邮件，并将其从您的Gmail托管电子邮件地址发送到外部域收件人。然后，您可以查看“邮件跟踪”(Message Tracking)以确保其已正确路由到出站。

x报头不匹配的消息示例：

     

成功传送的邮件示例：

     

     

不进行思科安全邮件扫描的内部邮件路由[可选]

如果您希望将用户到用户路由保留在Google Workspace (Gmail)内部[可选，但思科建议]，请遵循以下说明：

1. 登录您的Google Admin控制台(https://admin.google.com)
2. 导航到应用> Google工作空间
3. 点击Gmail
4. 点击主机
5. 单击Add route
6. 对于“添加邮件路由”(Add mail route)弹出窗口： 
   1. 顶行：“内部路由，无CES扫描”，或输入一个便于稍后识别的名称
   2. 指定电子邮件服务器：多台主机
      • 主要：aspmx.l.google.com、（端口） 25、（负载%） 100
      • 辅助：alt1.aspmx.l.google.com、alt2.aspmx.l.google.com、（端口）25、（负载百分比）50
   3. 选项:
      • 取消选中Require CA signed certificate (Recommended)
   4. 点击保存
7. 在“主机”主部分上单击保存

     

下一步:

1. 点击Gmail设置
2. 向下滚动并单击Routing
3. 在Routing部分中，单击Add Another Rule
4. 对于“添加邮件路由”(Add mail route)弹出窗口：
   1. 顶行：“内部路由，无CES扫描”，或输入一个便于稍后识别的名称
   2. 要影响的电子邮件：内部-发送
   3. 对于这些类型的消息：
      • 保留为修改消息
      • 对于“路由”，选择：更改路由和也重新路由垃圾邮件
   4. 单击Show options并向下滚动
   5. 对于“B.要影响的帐户类型”：用户和组
   6. 对于“C.信封过滤器”(C. Envelope filter)：选择仅影响特定信封发件人(Only affect specific envelope senders)
      • 选择模式匹配
      • 对于Regexp： .*your_domain
        • 注意：域名开头的“。”（点）和“*”（星号）为必填项
   7. 点击保存

测试内部路由邮件。使用相同的内部电子邮件域名向另一个收件人发送电子邮件。

     

     

测试和验证邮件传送

撰写邮件并将其发送到您的Gmail托管电子邮件地址。然后，检查邮件是否到达Gmail管理的电子邮件收件箱中。

然后，在“思科安全邮件中的邮件跟踪”(Message Tracking within Cisco Secure Email)中验证邮件传送。

1. 登录到您的网关(例如https://dhXXYY-esa1.iphmx.com/ng-login)，或者如果您有Cisco Secure Manager(例如https://dhXXYY-sma1.iphmx.com/ng-login)
2. 点击 Tracking（跟踪）
3. 输入邮件信息搜索条件（主题、信封收件人），然后点击搜索；返回的搜索结果类似于：

要在Google Workspace (Gmail)中查看邮件日志，请执行以下操作：

1. 登录到G Suite管理控制台(https://admin.google.com)
2. 导航至报告
3. 向下滚动，然后在右侧菜单中选择Email Log Search
4. 输入所需的搜索条件并单击Search；结果类似于：

     

     

将可疑垃圾邮件发送到Gmail垃圾邮件文件夹[可选]

如果您希望使用Cisco Secure Email将可疑垃圾邮件发送到Gmail中的Spam文件夹：

1. 登录您的Cisco安全电子邮件网关
2. 导航到邮件策略>传入邮件策略
3. 为策略名称选择Anti-Spam或使用“Default Policy”。
4. 对于可疑垃圾邮件设置，单击Advanced
5. 对于Add Custom Header (optional)，插入x-ipas-suspect
   • 注意：如果您不想通过思科安全邮件网关丢弃/隔离垃圾邮件，也可以将此设置配置为已确认的垃圾邮件设置

     

将可疑垃圾邮件设置的最终反垃圾邮件设置与：

在Gmail管理的电子邮件中，搜索“in：spam”或查看电子邮件应用程序中的Spam文件夹。

     

     

相关信息

技术支持和文档 - Cisco Systems