Saltar al contenido

Configurar Google Workspace

En este tema se explica cómo configurar Google Workspace (antes G Suite) para dirigir el correo electrónico a través de Sophos Gateway.

Añadir su dominio y verificar la propiedad

Nota

Necesita proporcionar la información siguiente al configurar Sophos Gateway para procesar y entregar correo electrónico para su dominio:

  • El nombre de su dominio de correo electrónico.
  • Los registros MX para Google Apps. Consulte Valores de los registros MX de Google Workspace.
  • El número de puerto que se utiliza para escuchar el tráfico SMTP en el host de destino de entrega de correo

Para añadir el dominio en Sophos Central, haga lo siguiente:

  1. Haga clic en Email Security > Configuración.
  2. Haga clic en Configuración/estado del dominio.
  3. Haga clic en Añadir dominio.
  4. Introduzca los detalles de su dominio de correo electrónico.
  5. Configure su destino de entrega.

    Para el destino de entrega y el puerto, introduzca MX y el valor routing-mx.<yourdomain.com> en Puerto 25. Los valores MX de enrutamiento se configuran después de verificar la titularidad del dominio.

  6. A continuación, haga clic en Verificar titularidad de dominio.

  7. Copie el valor TXT que aparece en el cuadro de diálogo Verificar titularidad de dominio.

    Este valor es específico de su dominio de correo electrónico.

  8. Cree un registro DNS TXT en el nivel de raíz del nombre de dominio (introducido en el paso 5) y pegue el valor TXT que ha copiado en el último paso. Puede darle el mismo nombre TXT que se muestra o utilizar @.

  9. Una vez que se guarda la nueva entrada del registro DNS TXT, haga clic en Verificar.

Cuando se propague la actualización de DNS con el valor TXT correcto, recibirá un mensaje para indicar que el dominio se ha verificado correctamente.

Si la actualización de DNS no se propaga o el valor introducido no es correcto, recibirá un mensaje de error. Confirme que el valor introducido es correcto.

Nota

El proceso de verificación del dominio puede que tarde unos minutos en finalizar.

Configurar valores routing-mx para la entrega a Google Workspace

Para ofrecer conmutación por error para la conexión entrante entre Sophos Gateway y Google Workspace es necesario configurar nuevos registros MX en un nuevo subdominio de su dominio de correo.

En este ejemplo, recomendamos utilizar routing-mx.<yourdomain.com>.

Nota

Esto es diferente a la configuración de los registros MX para la entrega de correo en el propio dominio. Añadir estos registros no tendrá ningún impacto en el flujo de correo, ya que estos registros solo se usan para el destino de entrega configurado en Sophos Email.

La forma de configurar esto varía según el proveedor de DNS. Por lo general, debe especificar el tipo como MX, el nombre de host como routing-mx, y el destino y la prioridad según las direcciones URL de Google de la captura de pantalla siguiente. El registro de mayor prioridad debe ser ASPMX.L.GOOGLE.COM.

"Ejemplos de registros MX"

Nota

Puede omitir este paso y configurar el destino de entrega para que apunte directamente a ASPMX.L.GOOGLE.COM. Sin embargo, si se produce un problema al ponerse en contacto con ASPMX.L.GOOGLE.COM, , el correo no se enviará al servidor MX alternativo de Google.

Añadir buzones

Ahora puede añadir buzones de correo a Sophos Email Security. Consulte Añadir buzones.

Cuando haya añadido los buzones de correo, continúe con la configuración del entorno de Google Workspace.

Limitar la entrega a direcciones IP de Sophos

Puede configurar la conexión a su host de correo para que solo utilice nuestras direcciones IP de entrega.

Restringir las IP de entrega aporta seguridad adicional a la integración entre Sophos Email y el host de correo.

Aviso

Antes de continuar, recomendamos encarecidamente probar el tráfico de correo electrónico y la configuración de dominios en un entorno no productivo o de prueba antes de hacer cualquier cambio en la configuración del correo de la empresa.

La direcciones IP de entrega específica que debe utilizar depende de la región en que se encuentra alojada su cuenta de Sophos Central. Cuando creó su cuenta de Sophos Central, eligió en qué país almacenar sus datos.

Aviso

También debe añadir las direcciones IP de Sophos a la lista de direcciones IP permitidas para el servidor de correo. Si no lo hace, sus usuarios no recibirán sus correos electrónicos.

Para averiguar qué direcciones IP utilizar, consulte Direcciones IP de la puerta de enlace de Sophos Email.

Aviso

Si utiliza otras direcciones IP distintas de las que aquí se proporcionan, el correo no pasará correctamente por el sistema.

Errores de DMARC de los servidores de correo electrónico de Google

Si ha activado Protección de direcciones URL en el momento del clic o Banners inteligentes en sus políticas de correo electrónico, es posible que vea errores de DMARC en los mensajes entrantes.

Esto se debe a que Google no procesa sistemáticamente los correos electrónicos de las direcciones IP en su lista de direcciones IP de pasarela.

La documentación de Google dice: "Gmail no hace la autenticación SPF en mensajes enviados desde direcciones IP de la lista de direcciones IP de pasarela. La pasarela de entrada debería hacer comprobaciones de DMARC, pero esta autenticación se evita en los mensajes recibidos de los hosts de la lista." Consulte Configurar una puerta de enlace de correo electrónico entrante.

Nuestras pruebas demuestran que esto no siempre ocurre, y que Google marca algunos correos electrónicos como errores de DMARC cuando no debería realizar comprobaciones de DMARC. Hemos planteado esta cuestión a Google.

Crear una puerta de enlace de entrada en Google Workspace

Puesto que está usando Sophos Gateway para filtrar su correo y para que sus registros MX apunten directamente a nosotros, es conveniente que restrinja la entrega a Google Workspace a direcciones IP de entrega de Sophos únicamente.

Nota

Las siguientes instrucciones se han tomado de la ayuda de Google, apartado Configurar una pasarela de correo entrante. Le recomendamos que consulte la ayuda de Google para ver si hay actualizaciones antes de cambiar la configuración del correo electrónico.

Para configurar esta opción, haga lo siguiente.

  1. Inicie sesión en la consola de administración de Google.
  2. Vaya a Aplicaciones > Google Workspace > Gmail > Configuración avanzada.
  3. En el apartado Organizaciones, seleccione el nivel organizativo superior.
  4. Desplácese a la opción Pasarela de entrada de la sección Spam.
  5. Haga clic en Configurar.
  6. Introduzca una descripción para la puerta de enlace de entrada, por ejemplo "Puerta de enlace entrante de Sophos Email".
  7. En IPs de pasarela, haga clic en Añadir e introduzca las direcciones IP de la puerta de enlace de Sophos correspondientes a su región. Deberá guardar después de cada entrada.
  8. Opcional: También puede añadir direcciones IP para los servidores de Google. Dicen que Google a veces bloquea sus propias direcciones IP. Para encontrar la lista actual de direcciones IP de Google, consulte Obtener intervalos de direcciones IP de Google.
  9. Active:
    • Detectar automáticamente IP externa (recomendado).
    • Rechazar todo el correo que no provenga de IPs de pasarela.
    • Requerir conexiones TLS en las pasarelas de correo electrónico de la lista anterior.
  10. Haga clic en Añadir ajuste o en Guardar.
  11. Vuelva a hacer clic en Guardar en la parte inferior de la página.

Si ha adquirido su dominio en Google, debe configurar registros personalizados, ya que no puede editar los registros DNS predeterminados que proporciona Google. Consulte Configurar Google Workspace con un host de DNS externo.

Si ha añadido una dirección IP de Google en el paso opcional, es posible que Google siga bloqueando sus propias direcciones IP. Si esto sucede, verá el siguiente mensaje:

Google tried to deliver your message, but it was rejected by the relay xxxx.yyyy.google.com. We recommend contacting the other email provider at postmaster@xxxx.yyyy.google.com for further information about the cause of this error. The error that the other server returned was: xxx.xxx.xxx.xxx IP not in whitelist for RCPT domain, closing connection.

La solución sugerida de Google es desactivar Rechazar todo el correo que no provenga de IPs de pasarela. Le recomendamos que lo haga temporalmente, hasta que se resuelva el problema. Mientras esta configuración está desactivada, los remitentes de correo electrónico pueden enrutar el correo directamente a la puerta de enlace de correo electrónico si no utilizan la búsqueda MX.

Modificar los registros MX para que apunten a Sophos Gateway

Cambiar los registros MX de su dominio de modo que apunten a Sophos Gateway es fundamental para el correcto despliegue de la solución y garantiza el filtrado y la entrega de todo el correo electrónico.

Si no puede hacer estos cambios por su cuenta, póngase en contacto con su departamento informático, proveedor de alojamiento, proveedor de servicios de Internet o servicio de nombres de dominio para solicitar la modificación de los registros MX de sus dominios.

Cuando creó su cuenta de Sophos Central, seleccionó la región en la que deseaba almacenar sus datos. Sus registros MX dependen de esta región.

Modifique los registros MX para que incluyan los nombres de registro asociados a la región que eligió para guardar sus datos.

Para averiguar qué registros MX utilizar, consulte Registros MX de Sophos.

Notas

Tenga cuidado al modificar cualquiera de las opciones para asegurarse de que todas las letras y los números son correctos.

Si utiliza otros nombres de registro MX distintos de los que aquí se proporcionan, el correo no pasará correctamente por el sistema.

Al cambiar entradas DNS como registros MX, recomendamos reducir el tiempo de TTL (a 600 ms o menos) con antelación a la actualización de las entradas. Esto permite que el cambio se propague rápidamente y ofrece una forma rápida de revertir los cambios en el caso de que surjan problemas durante las pruebas.

Crear una regla de Google Workspace para mensajes internos

De forma predeterminada, todos los mensajes se envían a Sophos Gateway, utilizando los destinos establecidos en los registros MX entrantes. Debe crear una regla de enrutamiento en Google Workspace para dirigir los mensajes internos a los servidores de Google.

Nota

Las siguientes instrucciones se han tomado de la página de ayuda Añadir rutas de correo para la entrega avanzada en Gmail de Google. Le recomendamos que consulte la ayuda de Google para ver si hay actualizaciones antes de cambiar la configuración del correo electrónico.

Para crear la regla, haga lo siguiente:

  1. Inicie sesión en Google Admin con su cuenta de administrador.
  2. Vaya a Aplicaciones > Google Workspace > Gmail > Hosts.
  3. Haga clic en Añadir ruta.
  4. Introduzca el nombre de la ruta; use un nombre que le ayude a recordarla, por ejemplo Internal Messages.
  5. Seleccione Varios hosts.
  6. Introduzca los detalles del host principal de la siguiente manera:

    Opción Valor
    Nombre de host aspmx.l.google.com
    Puerto 25
    Carga 100%
  7. Haga clic en Añadir principal.

  8. Introduzca los detalles del Host secundario de la siguiente manera:

    Opción Valor
    Nombre de host alt1.aspmx.l.google.com
    Puerto 25
    Carga 100%
  9. Haga clic en Añadir secundario.

  10. Seleccione Solicitar que el correo electrónico se transmita a través de una conexión TLS segura (opción recomendada).
  11. Seleccione Requerir certificado firmado por una autoridad de certificación (opción recomendada).
  12. Haga clic en Guardar.

    Puede tardar hasta diez minutos en surtir efecto. Puede realizar un seguimiento de los cambios en el registro de auditoría del administrador de Google Workspace.

Probar y confirmar el tráfico de correo electrónico

Una vez que haya actualizado los registros MX, envíe un mensaje de prueba a cualquiera de los buzones de correo protegidos por Sophos Gateway. Envíe su mensaje de prueba desde una dirección fuera de su dominio de correo electrónico.

Para confirmar que el mensaje ha pasado por Sophos Gateway, puede consultar el informe del Historial de mensajes.

Para acceder al informe, haga lo siguiente:

  1. En Sophos Central, haga clic en Registros e informes.
  2. Haga clic en Historial de mensajes.

    Si los mensajes están pasando por el sistema, verá las entradas en este informe.

Si el correo no pasa por el sistema, no estará recibiendo correo electrónico en su bandeja de entrada de prueba. Siga estos pasos:

  1. Verifique que sus registros MX son correctos para su región.
  2. Verifique que ha configurado las IP de entrega de Sophos correctamente en su puerta de enlace, firewall o conector.
  3. Verifique que el buzón de correo al que está enviando mensajes existe en Sophos Email Security.

Si ha seguido estos pasos y el correo sigue sin pasar por el sistema para su dominio, póngase en contacto con el equipo de soporte de Sophos.

Volver al principio