Configuration de Sophos Email pour Google Workspace

Cette rubrique explique comment configurer Google Workspace (anciennement G Suite) pour acheminer les emails via Sophos Email.

Ajouter votre domaine et vérifier la propriété

Remarque : Fournissez les informations suivantes lors de la configuration de Sophos Email pour qu’il traite et livre les emails pour votre domaine :
  • Le nom de votre domaine de messagerie.
  • Les enregistrements MX pour Google Apps. Retrouvez plus de renseignements à la section Valeur des enregistrements MX pour Google Workspace.
  • Le numéro de port utilisé pour écouter le trafic SMTP sur l’hôte de destination de livraison de la messagerie.

Pour ajouter votre domaine dans Sophos Central, procédez comme suit :

  1. Cliquez sur Email Gateway > Paramètres.
  2. Cliquez sur Paramètres / État du domaine.
  3. Cliquez sur Ajout d’un domaine.
  4. Saisissez les informations sur le domaine de messagerie.
  5. Configurez votre destination de livraison.
    1. Pour la destination de livraison et le port, saisissez MX et la valeur routing-mx.<votredomaine.com> sur le port 25. Configurez les valeurs MX de routage après avoir vérifié la propriété du domaine.
  6. Cliquez ensuite sur Vérification de la propriété du domaine.
  7. Copiez la valeur TXT présentée dans la boîte de dialogue Vérification de la propriété du domaine.

    Cette valeur est spécifique à votre domaine.

  8. Créez un enregistrement TXT DNS à la racine du nom de domaine (saisi à l’étape 5) et collez la valeur TXT copiée à la dernière étape. Vous pouvez lui donner le même nom TXT qui est indiqué ou utiliser @.
  9. Une fois l’entrée de l’enregistrement TXT DNS enregistrée, cliquez sur Vérifier.

Dès que la mise à jour DNS avec la bonne valeur TXT a été appliquée, vous recevez un message confirmant la réussite de la vérification du domaine.

Si la mise à jour DNS n’a pas été appliquée ou si la valeur saisie est incorrecte, vous recevez un message d’échec. Confirmez que la valeur saisie est correcte.

Remarque : L’opération de vérification du domaine peut prendre quelques instants.

Configurer des valeurs « routing-mx » pour la livraison sur Google Workspace

Pour fournir une option de basculement de la connexion entrante entre Sophos Email et Google Workspace, vous devez créer 5 nouveaux enregistrements MX sur un nouveau sous-domaine de votre domaine de messagerie.

Dans cet exemple, nous conseillons d’utiliser routing-mx.<votredomaine.com>.

Remarque : Il s’agit d’une opération différente à celle de configuration des enregistrements MX pour la livraison de la messagerie sur votre propre domaine. L’ajout de ces enregistrements n’affecte pas le trafic de messagerie à ce stade. Nous les utilisons uniquement pour configurer la destination de livraison dans Sophos Email.

La méthode de configuration varie selon le fournisseur DNS. En général, il faut saisir MX en tant que type, routing-mx en tant que nom d’hôte, et la destination et la priorité comme dans la capture d’écran ci-dessous. ASPMX.L.GOOGLE.COM doit être l’enregistrement ayant la priorité la plus élevée.


« Exemples d’enregistrements MX »
Remarque : Vous avez la possibilité d’ignorer cette étape et de configurer la destination de livraison afin qu’elle pointe directement vers ASPMX.L.GOOGLE.COM. Toutefois, si ASPMX.L.GOOGLE.COM ne peut pas être contacté, les messages ne seront pas livrés au serveur MX alternatif de Google.

Ajouter des boîtes de réception à Email Gateway

Vous pouvez ajouter des boîtes de réception de la manière suivante :

  1. Automatiquement à l’aide d’un service d’annuaire. Vous pouvez utiliser AD Sync ou Azure AD Sync. Retrouvez plus de renseignements et d’instructions sur la création d’un service d’annuaire à la section Service d’annuaire.
  2. Manuellement avec l’interface d’utilisation.
  3. Manuellement en important un fichier .csv.

Ajouter une boîte de réception manuellement

Sophos Email vous permet d’ajouter des boîtes de réception manuellement avec l’interface utilisateur.

Pour ajouter une boîte de réception manuellement, procédez de la manière suivante :

  1. Allez dans Email Gateway > Boîtes de réception pour afficher et gérer vos boîtes de réception.
  2. Sur l’écran Boîtes de réception, cliquez sur Ajouter.
  3. Sélectionnez Ajouter une boîte de réception.

    Il existe trois types de boîte de réception :

    • Email de l’utilisateur : une boîte de réception pour une personne. Exemple : prénom.nom@nomentreprise.fr.
      Conseil : Pour une boîte de réception d’emails de l’utilisateur, vous pouvez cliquer sur le nom de la boîte de réception pour voir les informations concernant l’utilisateur.
    • Liste de distribution : une boîte de réception pour un groupe de personnes. Exemple : support@nomentreprise.fr.
    • Dossier public : une boîte de réception pour collecter des données d’enquêtes d’opinion ou des commentaires. Exemple : enquête@nomentreprise.fr.
  4. Sélectionnez un type de boîte de réception.
  5. Saisissez le nom de la boîte de réception.
  6. Saisissez l’adresse SMTP pour la boîte de réception.
  7. Cliquez sur Enregistrer pour créer une seule boîte de réception et quitter ou sur Enregistrer et ajouter un autre pour créer d’autres boîtes de réception.

Ajout de boîtes de réception par Importation

Sophos Email vous permet d’ajouter des boîtes de réception par importation de groupe de boîtes de réception.

Pour ajouter des boîtes de réception par importation, procédez de la manière suivante :

  1. Créez votre fichier .csv à importer au format suivant :

    Nom

    Adresse email

    Type

    Robert Alamar

    robert.alamar@test.com

    Utilisateur

    Support DL

    support@test.com

    DL

    Calendrier des vacances

    vacation@test.com

    PF

  2. Cliquez sur Ajouter une boîte de réception et sélectionnez Importer les boîtes de réception.
  3. Cliquez sur Parcourir et accédez à votre fichier d’importation.
  4. Cliquez sur Ajouter pour commencer l’opération d’importation.

    L’importation s’exécute et les résultats s’affichent lorsque le processus se termine.

Pour vérifier qu’une boîte de réception a bien été créée, recherchez de nouveaux utilisateurs dans Utilisateurs/groupes. Pour les listes de distribution et les dossiers publics, parcourez la liste des boîtes de réception sous Boîtes de réception.

Restreindre la livraison aux adresses IP Sophos

Vous pouvez configurer la connexion à votre hôte de messagerie pour qu’elle soit restreinte à nos adresses IP de livraison.

La restriction des adresses IP de livraison ajoute un niveau de sécurité supplémentaire à l’intégration entre Sophos Email et votre hôte de messagerie.

Avertissement : Avant de poursuivre, nous vous conseillons vivement de tester le trafic de messagerie et la configuration du domaine sur un environnement de test ou hors production avant de modifier les paramètres de messagerie de votre entreprise.

L’adresse IP de livraison spécifique dont vous allez avoir besoin dépend de la région qui héberge votre compte Sophos Central. Lorsque vous avez créé votre compte Sophos Central, vous avez choisi de stocker vos données aux États-Unis, en Allemagne ou en Irlande.

Avertissement : Veuillez également ajouter les adresses IP Sophos à la liste des adresses IP autorisées pour votre serveur de messagerie. Si vous ne le faites pas, vos utilisateurs ne recevront pas leurs emails.

Pays

Adresses IP

États-Unis (Ouest)

52.41.236.76

50.112.39.248

États-Unis (Est)

18.220.12.142

18.216.7.10

Allemagne

52.58.166.242

52.29.100.147

Irlande

52.208.126.243

52.31.106.198

Avertissement : L’utilisation d’une autre adresse IP que celle indiquée pour votre région du monde affecte la bonne circulation de la messagerie.

Créer une passerelle d’entrée dans Google Workspace

Si vous utilisez Sophos Email pour filtrer votre messagerie et que vos enregistrements MX sont directement redirigés vers Sophos, faites en sorte que seules les adresses IP de livraison de Sophos sont livrées à Google Workspace.

Remarque : Les instructions suivantes sont extraites de la page d’aide Configurer une passerelle de messagerie entrante de Google. Nous vous recommandons de vous rendre directement dans l’aide de Google pour consulter la version la plus récente de l’article avant de modifier la configuration de votre messagerie.

Pour configurer ce paramètre, procédez de la manière suivante :

  1. Connectez-vous à la console d’administration Google.
  2. Naviguez jusqu’à Apps > Google Workspace > Gmail > Paramètres avancés.
  3. Dans la section Organisation, sélectionnez l’organisation racine.
  4. Faites défiler la page jusqu’à Passerelle entrante dans la section Spam.
  5. Cliquez sur Configurer.
  6. Saisissez une description pour votre passerelle entrante, par exemple Passerelle entrante Sophos Email.
  7. Dans la section Adresses IP de passerelle, cliquez sur Ajouter et saisissez les adresses IP de passerelle correspondant à votre région du monde. Veillez à enregistrer chaque saisie.
  8. Activez les options suivantes :
    • Détecter automatiquement l’adresse IP externe (conseillé).
    • Refuser tous les messages ne provenant pas d’adresses IP de passerelle.
    • Exiger des connexions via TLS à partir des passerelles de messagerie répertoriées ci-dessus.
  9. Cliquez sur Ajouter un paramètre ou sur Enregistrer.
  10. Au bas de la page, cliquez à nouveau sur Enregistrer.

Modifier des enregistrements MX pour qu’ils pointent vers Sophos Email

Afin de réussir le déploiement de la solution et assurer que tous les emails sont filtrés et livrés, il est essentiel de modifier les enregistrements MX de votre domaine pour qu’ils pointent vers Sophos Email.

Si vous ne pouvez pas effectuer ces modifications vous-même, veuillez contacter votre service informatique, votre fournisseur d’hébergement, votre fournisseur de services ou de service de nom de domaine pour leur demander de modifier les enregistrements MX de vos domaines.

Lorsque vous avez créé votre compte Sophos Central, vous avez sélectionné une région dans laquelle vous souhaitiez stocker vos données. Vos enregistrements MX dépendent de cette région.

Modifiez vos enregistrements MX pour inclure les noms d’enregistrement associés à la région du monde choisie pour stocker vos données.

Pays

Enregistrements MX

États-Unis (Ouest)

10, mx-01-us-west-2.prod.hydra.sophos.com

20, mx-02-us-west-2.prod.hydra.sophos.com

États-Unis (Est)

10, mx-01-us-east-2.prod.hydra.sophos.com

20, mx-02-us-east-2.prod.hydra.sophos.com

Allemagne

10, mx-01-eu-central-1.prod.hydra.sophos.com

20, mx-02-eu-central-1.prod.hydra.sophos.com

Irlande

10, mx-01-eu-west-1.prod.hydra.sophos.com

20, mx-02-eu-west-1.prod.hydra.sophos.com

Remarques

Faites bien attention que toutes ces options soient épelés correctement et que les chiffres soient corrects.

L’utilisation de noms d’enregistrement MX différents de ceux fournis affecte la bonne circulation du trafic de messagerie.

Lors de la modification d’entrées DNS telles que les enregistrements MX, nous vous conseillons de réduire le TTL (à 600 ms ou moins) bien avant de mettre à jour les entrées. Ceci permettra d’appliquer les modifications plus rapidement ou de les annuler en cas de problèmes rencontrés lors de la procédure de test.

Créer une règle Google Workspace pour les messages internes

Tous vos messages sont envoyés à Sophos Email par défaut, en utilisant les destinations définies dans vos enregistrements MX entrants. Pour diriger les messages internes vers les serveurs Google, il est nécessaire de créer une règle de routage dans Google Workspace.

Remarque : Les instructions suivantes ont été extraites de la page d’aide de Google Ajouter des routes de messagerie pour l'option de distribution Gmail avancée. Nous vous recommandons de vous rendre directement dans l’aide de Google pour consulter la version la plus récente de l’article avant de modifier la configuration de votre messagerie.

Pour créer une règle, procédez comme suit :

  1. Connectez-vous à Google Admin avec votre compte d’administrateur.
  2. Allez dans Apps > Google Workspace > Gmail > Hôtes.
  3. Cliquez sur Ajouter une route.
  4. Saisissez un nom de route clair et mémorable, par exemple Messages internes.
  5. Sélectionnez Hôtes multiples.
  6. Saisissez les détails de l’hôte principal de la manière suivante :
    OptionDescription

    Nom d’hôte

    aspmx.l.google.com

    Port

    25

    Charger

    100 %

  7. Cliquez sur Ajouter l’hôte principal.
  8. Saisissez les détails de l’Hôte secondaire comme suit :
    OptionDescription

    Nom d’hôte

    alt1.aspmx.l.google.com

    Port

    25

    Charger

    100 %

  9. Cliquez sur Ajouter l'hôte secondaire.
  10. Sélectionnez Demander que le courrier soit routé via une connexion TLS sécurisée (recommandé).
  11. Sélectionnez Exiger un certificat signé par une autorité de certification (recommandé).
  12. Cliquez sur Enregistrer.

    Les modifications peuvent prendre jusqu’à 24 heures pour être appliquées. Vous pouvez suivre les modifications dans votre journal d’audit de Google Workspace Admin.

Tester et confirmer le trafic de messagerie

Dès que vous avez mis à jour vos enregistrements MX, envoyez un message de test à l’une de vos boîtes de réception protégées par Sophos Email. Envoyez votre message de test à partir d’une adresse en dehors de votre domaine de messagerie.

Pour confirmer que le message est passé par Sophos Email, consultez le rapport Historique des messages.

Pour accéder au rapport, procédez de la manière suivante :

  1. Dans Sophos Central, cliquez sur Journaux et rapports.
  2. Cliquez sur Historique des messages.

    Tous les messages transitant dans le système font l’objet d’une entrée dans ce rapport.

Si les messages ne passent pas, vous ne recevrez pas d’email dans votre boîte de réception de test. Dans ce cas, procédez de la manière suivante :

  1. Vérifiez que vos enregistrements MX sont corrects pour votre pays.
  2. Vérifiez que vous avez bien installé les adresses IP de livraison Sophos sur votre passerelle, pare-feu ou connecteur.
  3. Vérifiez que la boîte de réception à laquelle vous envoyez les messages existe dans Sophos Email.

Si vous avez effectué toutes ces étapes et que les messages ne passent toujours pas, veuillez contacter le support de Sophos Email.