Aller au contenu

Configurer Google Workspace

Cette rubrique explique comment configurer Google Workspace (anciennement G Suite) pour acheminer les emails via Sophos Gateway.

Ajouter votre domaine et vérifier la propriété

Remarque

Fournissez les informations suivantes lors de la configuration de Sophos Gateway pour qu’il traite et livre les emails pour votre domaine :

  • Le nom de votre domaine de messagerie.
  • Les enregistrements MX pour Google Apps. Voir Valeur des enregistrements MX pour Google Workspace.
  • Le numéro de port utilisé pour écouter le trafic SMTP sur l’hôte de destination de livraison de la messagerie.

Pour ajouter votre domaine dans Sophos Central, procédez comme suit :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Mes produits > Paramètres généraux > Paramètres / État des domaines.
  3. Cliquez sur Ajouter un domaine.
  4. Saisissez les informations sur le domaine de messagerie.
  5. Configurez votre destination de livraison.

    Pour la destination de livraison et le port, saisissez MX et la valeur routing-mx.<yourdomain.com> sur le port 25. Configurez les valeurs MX de routage après avoir vérifié la propriété du domaine.

  6. Cliquez ensuite sur Vérification de la propriété du domaine.

  7. Copiez la valeur TXT présentée dans la boîte de dialogue Vérification de la propriété du domaine.

    Cette valeur est spécifique à votre domaine.

  8. Créez un enregistrement TXT DNS à la racine du nom de domaine (saisi à l’étape 5) et collez la valeur TXT copiée à la dernière étape. Vous pouvez lui donner le même nom TXT qui est indiqué ou utiliser @.

  9. Une fois l’entrée de l’enregistrement TXT DNS enregistrée, cliquez sur Vérifier.

Dès que la mise à jour DNS avec la bonne valeur TXT a été appliquée, vous recevez un message confirmant la réussite de la vérification du domaine.

Si la mise à jour DNS n’a pas été appliquée ou si la valeur saisie est incorrecte, vous recevez un message d’échec. Confirmez que la valeur saisie est correcte.

Remarque

L’opération de vérification du domaine peut prendre quelques instants.

Configurer des valeurs « routing-mx » pour la livraison sur Google Workspace

Pour fournir une option de basculement de la connexion entrante entre Sophos Gateway et Google Workspace, vous devez créer 5 nouveaux enregistrements MX sur un nouveau sous-domaine de votre domaine de messagerie.

Dans cet exemple, nous conseillons d’utiliser routing-mx.<yourdomain.com>.

Remarque

Il s’agit d’une opération différente à celle de configuration des enregistrements MX pour la livraison de la messagerie sur votre propre domaine. L’ajout de ces enregistrements n’affecte pas le trafic de messagerie à ce stade. Nous les utilisons uniquement pour configurer la destination de livraison dans Sophos Email.

La méthode de configuration varie selon le fournisseur DNS. En général, vous saisissez le type MX, le nom d’hôte routing-mx et la destination et la priorité conformément aux instructions de Google.

  • Si vous vous êtes inscrit à Google Workspace avant 2023, ASPMX.L.GOOGLE.COM doit être l’enregistrement ayant la priorité la plus élevée.

    « Exemple d’enregistrement MX pour une inscription à Google Workspace avant 2023 ».

  • Si vous vous êtes inscrit à Google Workspace en 2023 ou après, vous n’avez besoin que d’une entrée dirigeant vers SMTP.GOOGLE.COM.

Remarque

Vous avez la possibilité d’ignorer cette étape et de configurer la destination de livraison afin qu’elle pointe directement vers ASPMX.L.GOOGLE.COM. Toutefois, si ASPMX.L.GOOGLE.COM ne peut pas être contacté, les messages ne seront pas livrés au serveur MX alternatif de Google.

Ajoutez des boîtes de réception

Vous pouvez désormais ajouter des boîtes de réception à Sophos Email Security. Voir Ajouter des boîtes de réception.

Lorsque vous avez ajouté vos boîtes de réception, poursuivez la configuration de votre environnement Google Workspace.

Restreindre la livraison aux adresses IP Sophos

Vous pouvez configurer la connexion à votre hôte de messagerie pour qu’elle soit restreinte à nos adresses IP de livraison.

La restriction des adresses IP de livraison ajoute un niveau de sécurité supplémentaire à l’intégration entre Sophos Email et votre hôte de messagerie.

Avertissement

Avant de poursuivre, nous vous conseillons vivement de tester le trafic de messagerie et la configuration du domaine sur un environnement de test ou hors production avant de modifier les paramètres de messagerie de votre entreprise.

L’adresse IP de livraison spécifique dont vous allez avoir besoin dépend de la région qui héberge votre compte Sophos Central. Lorsque vous avez créé votre compte Sophos Central, vous avez choisi le pays dans lequel stocker vos données.

Avertissement

Veuillez également ajouter les adresses IP Sophos à la liste des adresses IP autorisées pour votre serveur de messagerie. Si vous ne le faites pas, vos utilisateurs ne recevront pas leurs emails.

Retrouvez plus de renseignements sur les adresses IP à utiliser sur Adresses IP de la passerelle de messagerie Sophos.

Avertissement

L’utilisation d’une autre adresse IP que celle indiquée pour votre région du monde affecte la bonne circulation de la messagerie.

Échecs DMARC à partir des serveurs de messagerie Google

Si vous activez la Protection Time of Click des URL ou les Paramètres du message de l’utilisateur dans vos stratégies de messagerie, il se peut que des échecs DMARC soient signalés pour les messages entrants.

Ceci est dû au fait que Google ne traite pas systématiquement les emails provenant d’adresses IP dans sa liste d’adresses IP de passerelle.

La documentation de Google indique : « Gmail ne procède pas à l’authentification SPF pour les messages envoyés depuis des adresses IP figurant parmi la liste "Adresses IP de passerelle". La passerelle entrante doit effectuer des contrôles DMARC. L'authentification DMARC est ignorée pour les messages entrants provenant des hôtes répertoriés. » Voir Configurer une passerelle de messagerie entrante

Nos tests montrent que cela ne se produit pas toujours, et Google marque certains emails comme des échecs DMARC quand il ne devrait pas faire de vérifications DMARC. Nous avons contacté Google à ce sujet.

Créer une passerelle d’entrée dans Google Workspace

Si vous utilisez Sophos Gateway pour filtrer votre messagerie et que vos enregistrements MX sont directement redirigés vers Sophos, faites en sorte que seules les adresses IP de livraison de Sophos sont livrées à Google Workspace.

Remarque

Les instructions suivantes sont extraites de la page d’aide de Google intitulée Configurer une passerelle de messagerie entrante. Nous vous recommandons de vous rendre directement dans l’aide de Google pour consulter la version la plus récente de l’article avant de modifier la configuration de votre messagerie.

Pour configurer ce paramètre, procédez de la manière suivante :

  1. Connectez-vous à la console d’administration Google.
  2. Dans la console d’administration, allez dans Menu > Applications > Google Workspace > Gmail > Spam, hameçonnage et logiciels malveillants.
  3. Sur la gauche, sélectionnez l’organisation principale. Il s’agit généralement de votre domaine.
  4. Faites défiler jusqu’à Passerelle entrante et cliquez sur Modifier la passerelle entrante.
  5. Saisissez une description pour votre passerelle entrante, par exemple Sophos Email Inbound Gateway.
  6. Dans Adresses IP de passerelle, cliquez sur Ajouter.
  7. Dans Ajouter une adresse/plage d’adresses IP, saisissez les adresses IP de la passerelle Sophos qui correspondent à votre région, puis cliquez sur Enregistrer.

    (Facultatif) Vous pouvez également ajouter des adresses IP pour les serveurs Google. Il semblerait que Google bloque parfois ses propres adresses IP. Pour trouver la liste actuelle des adresses IP de Google, consultez Obtenir les plages d’adresses IP utilisées par Google.

  8. Activez les options suivantes :

    • Détecter automatiquement l’adresse IP externe (conseillé).
    • Refuser tous les messages ne provenant pas d’adresses IP de passerelle.
    • Exiger le chiffrement TLS pour les connexions à partir des passerelles de messagerie répertoriées ci-dessus.
  9. Cliquez sur Enregistrer.

Les modifications peuvent prendre jusqu’à 24 heures pour être appliquées.

Si vous avez acheté votre domaine auprès de Google, il vous sera nécessaire de configurer des enregistrements personnalisés car il est impossible de modifier les enregistrements DNS par défaut fournis par Google. Consultez Configurer Google Workspace avec un hôte DNS tiers.

Si vous avez ajouté une adresse IP Google au moment de l’étape facultative, Google est susceptible de toujours bloquer ses propres adresses IP. Dans ce cas, le message suivant s’affiche :

Google tried to deliver your message, but it was rejected by the relay xxxx.yyyy.google.com. We recommend contacting the other email provider at postmaster@xxxx.yyyy.google.com for further information about the cause of this error. The error that the other server returned was: xxx.xxx.xxx.xxx IP not in whitelist for RCPT domain, closing connection.

La solution proposée par Google est de désactiver l’option Refuser tous les messages ne provenant pas d’adresses IP de passerelle. Nous vous recommandons du choisir cette option temporairement, jusqu’à ce que le problème soit résolu. Lorsque ce paramètre est désactivé, les expéditeurs peuvent acheminer les emails directement vers votre passerelle de messagerie s’ils n’utilisent pas la recherche MX.

Modifier des enregistrements MX pour qu’ils pointent vers Sophos Gateway

Afin de réussir le déploiement de la solution et assurer que tous les emails sont filtrés et livrés, il est essentiel de modifier les enregistrements MX de votre domaine pour qu’ils pointent vers Sophos Gateway.

Si vous ne pouvez pas effectuer ces modifications vous-même, veuillez contacter votre service informatique, votre fournisseur d’hébergement, votre fournisseur de services ou de service de nom de domaine pour leur demander de modifier les enregistrements MX de vos domaines.

Lorsque vous avez créé votre compte Sophos Central, vous avez sélectionné une région dans laquelle vous souhaitiez stocker vos données. Vos enregistrements MX dépendent de cette région.

Modifiez vos enregistrements MX pour inclure les noms d’enregistrement associés à la région du monde choisie pour stocker vos données.

Retrouvez plus de renseignements sur les enregistrements MX à utiliser sur Enregistrements MX Sophos.

Remarques

Faites bien attention que toutes ces options soient épelés correctement et que les chiffres soient corrects.

L’utilisation de noms d’enregistrement MX différents de ceux fournis affecte la bonne circulation du trafic de messagerie.

Lors de la modification d’entrées DNS telles que les enregistrements MX, nous vous conseillons de réduire le TTL (à 600 ms ou moins) bien avant de mettre à jour les entrées. Ceci permettra d’appliquer les modifications plus rapidement ou de les annuler en cas de problèmes rencontrés lors de la procédure de test.

Créer une règle Google Workspace pour les messages internes

Tous vos messages sont envoyés à Sophos Gateway par défaut, en utilisant les destinations définies dans vos enregistrements MX entrants. Pour diriger les messages internes vers les serveurs Google, il est nécessaire de créer une règle de routage dans Google Workspace.

Remarque

Les instructions suivantes sont extraites de la page d’aide de Google intitulée Ajouter des routes de messagerie pour l’option de distribution Gmail avancée. Nous vous recommandons de vous rendre directement dans l’aide de Google pour consulter la version la plus récente de l’article avant de modifier la configuration de votre messagerie.

Pour créer une règle, procédez comme suit :

  1. Connectez-vous à la console d’administration Google.
  2. Dans la console d’administration, allez dans Menu > Applications > Google Workspace > Gmail > Hôtes.
  3. Cliquez sur Ajouter une route.
  4. Saisissez un nom de route clair et mémorable, par exemple Internal Messages.
  5. Sélectionnez Hôtes multiples.
  6. Saisissez les détails de l’Hôte principal de la manière suivante :

    Option Valeur
    Nom d’hôte aspmx.l.google.com
    Port 25
    Charger 100%
  7. Saisissez les détails de l’Hôte secondaire comme suit :

    Option Valeur
    Nom d’hôte alt1.aspmx.l.google.com
    Port 25
    Charger 100%
  8. Sélectionnez Exiger que les messages soient transmis par le biais d’une connexion sécurisée (TLS) (recommandé) , puis sélectionnez Exiger un certificat signé par une autorité de certification (recommandé).

  9. Cliquez sur ENREGISTRER.
  10. Allez dans Applications > Google Workspace > Gmail > Routage.
  11. Faites défiler jusqu’au paramètre Routage, puis effectuez l’une des opérations suivantes :

    • Si vous n'avez pas encore configuré de règle, cliquez sur CONFIGURER.
    • Si vous avez déjà configuré une règle, cliquez sur AJOUTER UNE AUTRE RÈGLE.
  12. Saisissez un nom descriptif pour le paramètre de routage, par exemple Internal Emails Route Rule.

  13. Dans Messages email concernés, sélectionnez Internes - Sortants.
  14. À l'étape 2, sélectionnez Modifier le message dans la liste déroulante et sélectionnez Modifier la route.
  15. Cliquez sur Afficher les options et assurez-vous que les types de compte suivants sont sélectionnés :

    • Utilisateurs
    • Groupes
  16. Sous l’option C, Filtrage d’enveloppes, sélectionnez Affecter uniquement des expéditeurs d'enveloppes spécifiques, puis Modèle correspondant dans la liste déroulante et saisissez votre domaine dans le champ Regexp. Par exemple example.com.

  17. Cliquez sur ENREGISTRER.

    Les modifications peuvent prendre jusqu’à 24 heures pour être appliquées. Vous pouvez suivre les modifications dans votre journal d’audit de Google Workspace Admin.

Tester et confirmer le flux de messagerie

Dès que vous avez mis à jour vos enregistrements MX, envoyez un message de test à l’une de vos boîtes de réception protégées par Sophos Gateway. Envoyez votre message de test à partir d’une adresse en dehors de votre domaine de messagerie.

Pour confirmer que le message est passé par Sophos Gateway, consultez le rapport Historique des messages.

Pour accéder au rapport, procédez de la manière suivante :

  1. Connectez-vous à Sophos Central.
  2. Allez dans Rapports > Historique des messages.

    Tous les messages transitant dans le système font l’objet d’une entrée dans ce rapport.

Si les messages ne passent pas, vous ne recevrez pas d’email dans votre boîte de réception de test. Dans ce cas, procédez de la manière suivante :

  1. Vérifiez que vos enregistrements MX sont corrects pour votre pays.
  2. Vérifiez que vous avez bien installé les adresses IP de livraison Sophos sur votre passerelle, pare-feu ou connecteur.
  3. Vérifiez que la boîte de réception à laquelle vous envoyez les messages existe dans Sophos Email Security.

Si vous avez effectué toutes ces étapes et que les messages ne passent toujours pas, veuillez contacter le support de Sophos.