Zum Inhalt

Konfigurieren von Google Workspace

In diesem Abschnitt wird erläutert, wie Sie Google Workspace (ehemals G Suite) so einrichten, dass E-Mails über Sophos Gateway weitergeleitet werden.

Hinzufügen Ihrer Domäne und Überprüfen des Domänenbesitzes

Hinweis

Bei der Konfiguration von Sophos Gateway zur Verarbeitung und Zustellung von E-Mails für Ihre Domäne müssen Sie folgende Informationen angeben:

Verfahren Sie zum Hinzufügen Ihrer Domäne in Sophos Central wie folgt:

  1. Klicken Sie auf Email Security > Einstellungen.
  2. Klicken Sie auf Domäneneinstellungen/Status.
  3. Klicken Sie auf Domäne hinzufügen.
  4. Geben Sie die Details Ihrer E-Mail-Domäne an.
  5. Konfigurieren Sie das Ziel Ihrer Zustellung.

    Geben Sie für Zustellungsziel und Port MX und den Wert routing-mx.<yourdomain.com> auf Port 25 ein. Nach dem Verifizieren des Domänenbesitzes konfigurieren Sie Ihre Routing-MX-Werte.

  6. Klicken Sie auf Domänenbesitz verifizieren.

  7. Kopieren Sie den Textwert im Dialog Domänenbesitz verifizieren verifizieren.

    Der Wert ist spezifisch für Ihre E-Mail-Domäne.

  8. Erstellen Sie einen TXT-DNS-Eintrag auf der Stammebene des Domänennamens (in Schritt 5 eingegeben) und fügen Sie den im letzten Schritt kopierten Textwert ein. Sie können den angezeigten TXT-Namen oder @ verwenden.

  9. Klicken Sie nach dem Speichern des TXT-DNS-Eintrags auf Verifizieren.

Nachdem die DNS-Aktualisierung mit dem korrekten TXT-Wert übernommen wurde, werden Sie in einer Meldung informiert, dass die Verifizierung der Domäne erfolgreich war.

Wenn die DNS-Aktualisierung nicht übernommen wurde oder der übernommene Wert falsch ist, erhalten Sie eine Fehlermeldung. Überprüfen Sie den eingegebenen Wert auf seine Richtigkeit.

Hinweis

Die Domänenüberprüfung kann einige Zeit in Anspruch nehmen.

Konfiguration von routing-mx-Werten zur Weiterleitung an Google Workspace

Um ein Failover für die eingehende Verbindung zwischen Sophos Gateway und Google Workspace zu ermöglichen, müssen Sie neue MX-Einträge für eine neue Subdomäne Ihrer E-Mail-Domäne anlegen.

In diesem Beispiel empfehlen wir die Verwendung von routing-mx.<yourdomain.com>.

Hinweis

Dieser Vorgang ist anders als bei der Konfiguration von MX-Einträgen für die E-Mail-Zustellung auf der Domain selbst. Das Hinzufügen dieser Einträge hat noch keine Auswirkung auf den E-Mail-Fluss, da diese Einträge nur für das in Sophos Email konfigurierte Zustellziel verwendet werden.

Wie Sie diese Konfiguration vornehmen, hängt von den verschiedenen DNS-Anbietern ab. In der Regel geben Sie den für den Typ MX und für den Hostnamen routing-mx und Ziel und Priorität entsprechend den Google URLs (siehe nachfolgenden Screenshot) ein. Der Eintrag mit der höchsten Priorität muss ASPMX.L.GOOGLE.COM lauten.

„Beispiel für MX-Datensätze“

Hinweis

Sie können diesen Schritt auch überspringen und das Zustellziel so konfigurieren, dass es direkt auf ASPMX.L.GOOGLE.COM verweist. Sollte es Probleme beim Ansprechen von ASPMX.L.GOOGLE.COM geben, wird die E-Mail nicht auf dem alternativen MX-Server von Google zugestellt.

Postfächer hinzufügen

Sie können jetzt Postfächer zu Sophos Email Security hinzufügen. Siehe Postfächer hinzufügen.

Nachdem Sie Ihre Mailboxen hinzugefügt haben, fahren Sie mit der Konfiguration Ihrer Google-Workspace-Umgebung fort.

Zustellung auf Sophos-IP-Adressen beschränken

Sie können die Verbindung zu Ihrem Mail-Host so konfigurieren, dass sie auf unsere Zustell-IP-Adressen beschränkt ist.

Durch die Beschränkung von Zustell-IP-Adressen wird die Integration zwischen Sophos Email und Ihrem E-Mail-Host noch sicherer.

Warnung

Vor dem Fortfahren empfehlen wir Ihnen dringend, den E-Mail-Verkehr sowie die Domänenkonfiguration zunächst in einer nicht-produktiven/Testumgebung zu testen und erst dann Änderungen am E-Mail-Verkehr Ihres Unternehmens vorzunehmen.

Die zu verwendende Zustell-IP-Adresse hängt von der Region ab, in der Ihr Sophos Central-Konto gehostet wird. Als Sie Ihr Sophos Central-Konto erstellt haben, haben Sie ausgewählt, in welchem Land Ihre Daten gespeichert werden sollen.

Warnung

Sie müssen die Sophos-IP-Adressen auch der Liste erlaubter IPs für Ihren Mail-Server hinzufügen. Andernfalls erhalten Ihre Benutzer ihre E-Mails nicht.

Welche IP-Adressen verwendet werden sollen, erfahren Sie unter Sophos Email-Gateway-IP-Adressen.

Warnung

Wenn nicht die für Ihre Region angegebene IP-Adresse verwendet wird, wird der E-Mail-Fluss gestört.

DMARC-Fehler von Google-E-Mail-Servern

Wenn Sie die Time of Click URL Protection oder Smarte Banner in Ihren E-Mail-Richtlinien aktiviert haben, werden möglicherweise DMARC-Fehler für eingehende Nachrichten gemeldet.

Dies liegt daran, dass Google E-Mails von IP-Adressen in der Gateway-IP-Liste nicht einheitlich verarbeitet.

In der Dokumentation von Google heißt es: „Bei Nachrichten, die über IP-Adressen in der Liste „Gateway-IPs“ gesendet werden, wird in Gmail keine SPF-Authentifizierung durchgeführt. Über das Eingangsgateway sollten DMARC-Prüfungen erfolgen. Die DMARC-Authentifizierung wird umgangen, wenn Nachrichten von Hosts eingehen, die in der Liste stehen.“ Siehe Gateway für eingehende E-Mails einrichten.

Unsere Tests zeigen, dass dies nicht immer der Fall ist und Google einige E-Mails als DMARC-Fehler markiert, wenn DMARC-Prüfungen nicht durchgeführt werden sollten. Wir haben Google dies gemeldet.

Erstellen eines Gateways für eingehende E-Mails in Google Workspace

Da Sie Ihre E-Mails mit Sophos Gateway filtern und Ihre MX-Einträge direkt auf uns verweisen, müssen Sie die Zustellung an Google Workspace auf Sophos Zustell-IP-Adressen zu beschränken.

Hinweis

Die folgenden Anweisungen wurden der Google-Hilfe zur Einrichtung eines Inbound-Mail-Gateways entnommen. Wir empfehlen Ihnen, die Google-Hilfe auf Updates zu überprüfen, bevor Sie Ihre E-Mail-Konfiguration ändern.

Um diese Einstellungen zu konfigurieren, gehen Sie wie folgt vor:

  1. Melden Sie sich an der Google-Admin-Konsole an.
  2. Navigieren Sie zu Apps > Google Workspace > Gmail > Erweiterte Einstellungen.
  3. Wählen Sie im Bereich Organisationen die Organisation der obersten Ebene aus.
  4. Blättern Sie im Abschnitt „Spam“ zu Inbound-Gateway.
  5. Klicken Sie auf Konfigurieren.
  6. Geben Sie eine Beschreibung für Ihr Inbound-Gateway ein, z. B. "Inbound-Gateway zu Sophos Email".
  7. Klicken Sie unter Gateway IP-Adressen auf Hinzufügen und geben Sie die Sophos-Gateway-IP-Adressen an, die Ihrer Region entsprechen. Sie müssen nach jedem Eintrag speichern.
  8. Optional: Sie können auch IP-Adressen für die Server von Google hinzufügen. Berichten zufolge blockiert Google manchmal seine eigenen IP-Adressen. Die aktuelle Liste der IP-Adressen von Google finden Sie unter IP-Adressbereiche von Google abrufen.
  9. Aktivieren:
    • Externe IP automatisch erkennen (empfohlen).
    • Alle Mails, die nicht von Gateway IP-Adressen kommen, ablehnen.
    • TLS-Verbindungen von den oben aufgeführten E-Mail-Gateways verlangen.
  10. Klicken Sie auf Einstellung hinzufügen oder Speichern.
  11. Klicken Sie unten auf der Seite erneut auf Speichern.

Wenn Sie Ihre Domäne bei Google gekauft haben, müssen Sie benutzerdefinierte Datensätze einrichten, da Sie die von Google zur Verfügung gestellten Standard-DNS-Einträge nicht bearbeiten können. Siehe Google Workspace mit einem externen DNS-Host einrichten.

Wenn Sie im optionalen Schritt eine Google-IP-Adresse hinzugefügt haben, blockiert Google möglicherweise noch seine eigenen IP-Adressen. In diesem Fall wird die folgende Meldung angezeigt:

Google tried to deliver your message, but it was rejected by the relay xxxx.yyyy.google.com. We recommend contacting the other email provider at postmaster@xxxx.yyyy.google.com for further information about the cause of this error. The error that the other server returned was: xxx.xxx.xxx.xxx IP not in whitelist for RCPT domain, closing connection.

Google empfiehlt die Option Alle Mails, die nicht von Gateway IP-Adressen kommen, ablehnen zu deaktivieren. Wir empfehlen Ihnen, dies vorübergehend zu tun, bis das Problem behoben ist. Während diese Einstellung deaktiviert ist, können E-Mail-Absender E-Mails direkt an Ihr E-Mail-Gateway weiterleiten, wenn sie keine MX-Suche verwenden.

Ändern Ihrer MX-Einträge zum Verweisen auf Sophos Gateway

Das Ändern der MX-Einträge Ihrer Domäne zum Verweis auf Sophos Gateway ist für die erfolgreiche Bereitstellung unabdingbar und stellt sicher, dass alle E-Mails gefiltert und zugestellt werden.

Wenn Sie diese Änderungen nicht selbst vornehmen können, wenden Sie sich bitte an Ihre IT-Abteilung, Ihren Hosting-Anbieter, Internetanbieter oder Domänennamendienstleister, um die Änderung der MX-Einträge für Ihre Domänen zu beantragen.

Beim Erstellen Ihres Sophos Central-Kontos haben Sie die Region angegeben, in der Ihre Daten gespeichert werden sollen. Die MX-Einträge hängen von dieser Region ab.

Fügen Sie die zur Region, in der Ihre Daten gespeichert werden sollen, gehörigen Eintragsnamen zu Ihren MX-Einträgen hinzu.

Welche MX-Einträge verwendet werden sollen, erfahren Sie unter Sophos-MX-Einträge.

Anmerkungen

Achten Sie bitte bei allen Einträgen auf die Richtigkeit der Rechtschreibung und Zahlen.

Wenn nicht die bereitgestellten MX-Eintragsnamen verwendet werden, wird der E-Mail-Fluss gestört.

Beim Ändern von DNS-Einträgen, wie MX-Einträgen, empfiehlt sich, die TTL der Einträge rechtzeitig vor dem Ändern der Einträge (auf 600 ms oder weniger) herabzusetzen. So werden die Änderungen schnell wirksam und lassen sich im Falle von Problemen beim Test schnell wieder rückgängig machen.

Google Workspace-Regel für interne Nachrichten erstellen

Standardmäßig werden alle Nachrichten an Sophos Gateway gesendet, wobei die in Ihren eingehenden MX-Datensätzen festgelegten Ziele verwendet werden. Sie müssen in Google Workspace eine Weiterleitungsregel erstellen, um interne Nachrichten an Google-Server weiterzuleiten.

Hinweis

Die folgenden Anweisungen wurden von der Google E-Mail-Route für die erweiterte Gmail-Zustellung hinzufügen-Hilfeseite übernommen. Wir empfehlen Ihnen, die Google-Hilfeseite auf Updates zu überprüfen, bevor Sie Ihre E-Mail-Konfiguration ändern.

Um eine Regel zu erstellen, gehen Sie wie folgt vor:

  1. Melden Sie sich mit Ihrem Administratorkonto bei Google Admin an.
  2. Gehen Sie zu Apps > Google Workspace > Gmail > Hosts.
  3. Klicken Sie auf Route Hinzufügen.
  4. Geben Sie einen aussagekräftigen Namen für die Route ein, zum Beispiel: Internal Messages.
  5. Wählen Sie Mehrere Hosts aus.
  6. Geben Sie die Details des primären Hosts wie folgt ein:

    Option Wert
    Hostname aspmx.l.google.com
    Port 25
    Öffnen 100%
  7. Klicken Sie auf Primär hinzufügen.

  8. Geben Sie die Details des sekundären Hosts wie folgt ein:

    Option Wert
    Hostname alt1.aspmx.l.google.com
    Port 25
    Öffnen 100%
  9. Klicken Sie Auf Sekundär hinzufügen.

  10. Wählen Sie E-Mail muss über eine sichere Verbindung (TLS) übertragen werden (empfohlen).
  11. Wählen Sie Von Zertifizierungsstelle signiertes Zertifikat erforderlich (empfohlen)aus.
  12. Klicken Sie auf Speichern.

    Es kann bis zu 24 Stunden dauern, bis dies wirksam wird. Sie können Änderungen in Ihrem Audit-Protokoll von Google Workspace-Admin nachverfolgen.

Testen und Bestätigen des E-Mail-Verkehrs

Senden Sie nach der Aktualisierung Ihrer MX-Einträge eine Testnachricht an Ihre von Sophos Email geschützten Postfächer. Senden Sie Ihre Testnachricht von einer Adresse außerhalb Ihrer E-Mail-Domäne.

Im Bericht Nachrichtenverlauf können Sie überprüfen, ob die E-Mail durch Sophos Email gelaufen ist.

So greifen Sie auf den Report zu:

  1. Klicken Sie in Sophos Central auf Protokolle und Berichte.
  2. Klicken Sie auf Nachrichtenverlauf.

    Wenn die Nachrichten durch das System fließen, enthält der Bericht Einträge.

Wenn keine E-Mails gesendet werden, erhalten Sie keine E-Mails in Ihrem Test-Postfach. Führen Sie die folgenden Schritte aus:

  1. Überprüfen Sie, ob Ihre MX-Einträge Ihrer Region entsprechen.
  2. Stellen Sie sicher, dass Sie die Sophos Zustell-IP-Adressen in Ihrem Gateway, Ihrer Firewall oder Ihrem Connector ordnungsgemäß konfiguriert haben.
  3. Überprüfen Sie, ob das Postfach, an das Sie E-Mails senden, in Sophos Email Security vorhanden ist.

Wenn der E-Mail-Fluss für Ihre Domäne nach dem Durchführen dieser Schritte weiterhin gestört ist, wenden Sie sich bitte an den Support von Sophos.

Zurück zum Seitenanfang