Vai al contenuto

Link permanente della pagina

Utilizza sempre il seguente link permanente quando fai riferimento a questa pagina. Rimarrà invariato nelle versioni future della guida.

https://docs.sophos.com/central/customer/help/it-it/index.html?contextId=email-configuration-Google

E-mail in entrata per Google Workspace

Questo argomento indica come configurare Google Workspace (precedentemente G Suite) per il routing della posta elettronica tramite Sophos Gateway.

Il seguente video offre una guida dettagliata su come configurare il routing delle e-mail in entrata per Google Workspace.

Aggiungere il dominio e verificare la proprietà

Quando si configura Sophos Gateway per l'elaborazione e la consegna delle e-mail per il proprio dominio, occorre fornire le seguenti informazioni:

  • Il nome del dominio di posta elettronica.
  • I record MX per Google Apps. Vedere Valori dei record MX di Google Workspace.
  • Il numero di porta utilizzato per l'ascolto del traffico SMTP sull'host di destinazione per la consegna dei messaggi di posta.

Per aggiungere il proprio dominio in Sophos Central, procedere come segue:

  1. Accedere a Sophos Central.
  2. Cliccare sull’icona Impostazioni generali Icona Impostazioni generali..
  3. Sotto Configurazione del dominio delle e-mail, cliccare su Impostazioni dominio/stato del gateway.
  4. Cliccare su Aggiungi dominio.
  5. Immettere i dettagli del proprio dominio di posta elettronica.

  6. Configurare la destinazione di consegna.

    Per la destinazione di consegna e la porta, immettere MX e il valore routing-mx.<yourdomain.com> sulla porta 25. I valori MX del routing vengono configurati dopo la verifica della proprietà del dominio.

  7. Cliccare su Verifica proprietà dominio.

  8. Copiare il valore TXT indicato nella finestra di dialogo Verifica proprietà dominio.

    Questo valore riguarda il proprio dominio di posta elettronica specifico.

  9. Creare un record DNS TXT nel livello di radice del nome di dominio specificato prima, e incollare il valore TXT copiato nell’ultimo passaggio. È possibile attribuire lo stesso nome TXT indicato, oppure si può utilizzare @.

  10. Una volta salvata la nuova voce del record DNS TXT, cliccare su Verifica.

Una volta propagato l'aggiornamento DNS con il corretto valore TXT, si riceverà un messaggio che indica che la verifica del dominio ha avuto esito positivo.

Se l'aggiornamento DNS non è stato propagato o il valore immesso non è corretto, si riceverà un messaggio di errore. Confermare che il valore immesso è corretto.

Nota

Il processo di verifica del dominio potrebbe richiedere del tempo.

Configurazione dei valori MX del routing per Google Workspace

Per poter fornire un failover della connessione in entrata tra Sophos Gateway e Google Workspace, occorre impostare nuovi record MX su un nuovo sottodominio del proprio dominio di posta.

In questo esempio, si consiglia di utilizzare routing-mx.<yourdomain.com>.

Nota

Questa configurazione è diversa dai record MX del dominio primario utilizzato per la consegna della posta elettronica. I record di routing-mx non influiscono sul traffico di posta elettronica in tempo reale. Vengono utilizzati solo come destinazione di consegna configurata in Sophos Email.

I passaggi di configurazione variano a seconda del provider di DNS. Di solito, si inseriscono il tipo di record come MX, il nome host come routing-mx, e i valori di destinazione e priorità definiti nella documentazione del record MX di Google.

Normalmente, Google fornisce il seguente set di record MX:

  • ASPMX.L.GOOGLE.COM
  • ALT1.ASPMX.L.GOOGLE.COM
  • ALT2.ASPMX.L.GOOGLE.COM
  • ALT3.ASPMX.L.GOOGLE.COM
  • ALT4.ASPMX.L.GOOGLE.COM

Esempio di record MX di Google Workspace.

Alcuni ambienti Google Workspace potrebbero utilizzare invece il seguente record:

SMTP.GOOGLE.COM

Per confermare i valori corretti per il proprio ambiente, consultare le istruzioni di Google.

Utilizzo di SMTP.GOOGLE.COM come host di consegna alternativo

Se si dovessero riscontrare problemi di consegna utilizzando ASPMX.L.GOOGLE.COM, modificare la destinazione di consegna in SMTP.GOOGLE.COM.

Alcuni ambienti segnalano una maggiore affidabilità quando si utilizza SMTP.GOOGLE.COM al posto di ASPMX.L.GOOGLE.COM.

Dopo aver effettuato la modifica, testare nuovamente il flusso di posta. Se il flusso di posta continua a restituire errori, contattare il Supporto Sophos.

Aggiunta di caselle di posta

È ora possibile aggiungere caselle di posta a Sophos Email Security. Vedere Aggiunta di caselle di posta.

Una volta aggiunte le caselle di posta, procedere con la configurazione del proprio ambiente Google Workspace.

Limitare la consegna dei messaggi ai soli indirizzi IP Sophos

È possibile configurare la connessione al proprio host di posta elettronica in modo che utilizzi solamente i nostri indirizzi IP di consegna.

La limitazione degli indirizzi IP di consegna aggiunge ulteriore protezione all’integrazione tra Sophos Email e l’host di posta elettronica.

Avviso

Prima di procedere e apportare modifiche alla configurazione della posta elettronica della propria organizzazione, si consiglia vivamente di testare il flusso del traffico e-mail e la configurazione del dominio in un ambiente di prova o comunque non di produzione.

L’indirizzo IP di consegna da utilizzare dipende dall’area geografica in cui è ospitato il proprio account Sophos Central. Durante la creazione del proprio account Sophos Central, si sceglie il paese in cui archiviare i dati.

Avviso

È inoltre necessario aggiungere gli indirizzi IP Sophos all’elenco di IP autorizzati per il server di posta. Se non viene effettuata questa operazione, gli utenti non riceveranno le loro e-mail.

Per scoprire quali indirizzi IP utilizzare, vedere Indirizzi IP del gateway di posta Sophos.

Avviso

L’uso di un indirizzo IP diverso da quello specificato per la propria area geografica ostacolerà il corretto flusso della posta elettronica.

Errori DMARC dai server di posta elettronica di Google

Se sono state attivate le funzionalità ProtezioneTime-of-Click degli URL o Impostazioni dei messaggi per gli utenti finali nei criteri e-mail, è possibile che vengano segnalati errori DMARC per i messaggi in entrata.

Questo avviene perché Google non elabora in modo coerente le e-mail provenienti dagli indirizzi IP nel suo elenco di IP del gateway.

La documentazione di Google dice: “Gmail non esegue l’autenticazione SPF per i messaggi inviati da indirizzi IP inclusi nell’elenco degli IP del gateway. Il gateway in entrata dovrebbe eseguire i controlli DMARC. L’autenticazione DMARC viene bypassata per i messaggi in arrivo provenienti dagli host elencati”. Vedere la pagina Configurare un gateway della posta in entrata.

I nostri test dimostrano che questo non accade sempre e che Google contrassegna alcune e-mail come errori DMARC quando non dovrebbe effettuare controlli DMARC. Abbiamo segnalato il problema a Google.

Creazione di un Gateway in entrata in Google Workspace

Poiché si utilizza Sophos Gateway per filtrare la posta e poiché i record MX prevedono il reindirizzamento diretto verso Sophos, è consigliabile limitare la consegna dei messaggi verso Google Workspace in modo che siano autorizzati solamente gli IP di consegna di Sophos.

Nota

Le seguenti istruzioni sono tratte dalla pagina della guida di Google Configurare un gateway della posta in entrata. Prima di modificare la configurazione della posta elettronica, si consiglia di controllare la pagina pertinente della Guida di Google per verificare la presenza di eventuali aggiornamenti.

Per configurare questa impostazione, procedere come segue:

  1. Accedere alla Console di amministrazione Google.
  2. Nella console di amministrazione, selezionare Menu > App > Google Workspace > Gmail > Spam, phishing e malware.
  3. Sulla sinistra, selezionare l’organizzazione di primo livello. Di solito si tratta del proprio dominio.
  4. Scorrere fino a Gateway in entrata e cliccare sull’icona di Modifica ..
  5. Selezionare Abilita.
  6. In IP gateway, cliccare su Aggiungi.

  7. In Aggiungi indirizzo/intervallo IP, immettere gli IP Sophos Gateway corrispondenti alla propria area geografica e cliccare su Salva.

    (Opzionale) Si possono aggiungere anche indirizzi IP per i server di Google. È stato segnalato che Google a volte blocca i propri indirizzi IP. Per un elenco aggiornato degli indirizzi IP di Google, vedere Individuare gli intervalli degli indirizzi IP di Google.

  8. Attivare:

    • Rileva automaticamente IP esterno (consigliato).
    • Rifiuta tutta la posta che non proviene da IP gateway, non FRP.
    • Richiedi TLS per le connessioni dai gateway email elencati sopra.

  9. Cliccare su Save (Salva).

L'implementazione delle modifiche può richiedere fino a 24 ore.

Se il dominio è stato acquistato da Google, occorre impostare record personalizzati, poiché non è possibile modificare i record DNS predefiniti forniti da Google. Vedere Configurare Google Workspace con un host DNS di terze parti.

Se è stato aggiunto un indirizzo IP di Google nel passaggio opzionale, Google potrebbe comunque bloccare i propri indirizzi IP. In questo caso, verrà visualizzato il seguente messaggio:

Google ha effettuato un tentativo di consegnare il messaggio, ma è stato rifiutato dal relay xxxx.yyyy.google.com.
Si consiglia di contattare l’altro provider di servizi e-mail all’indirizzo postmaster@xxxx.yyyy.google.com, per maggiori informazioni sulla causa di questo errore.

Il server del destinatario ha restituito il seguente errore:
L’IP xxx.xxx.xxx.xxx non è nella whitelist per il dominio RCPT, la connessione verrà chiusa.

La soluzione suggerita da Google è disattivare Rifiuta tutta la posta che non proviene da IP gateway. Si consiglia di eseguire questa operazione temporaneamente, finché il problema non viene risolto. Quando questa impostazione è disattivata, i mittenti e-mail possono instradare le e-mail direttamente sul gateway di posta elettronica, se non utilizzano la ricerca MX.

Modifica dei record MX per il reindirizzamento verso Sophos Gateway

La modifica dei record MX del proprio dominio per il reindirizzamento verso Sophos Gateway è essenziale per la corretta installazione del prodotto e per garantire il filtraggio e la consegna di tutte le e-mail.

Se non si dovesse riuscire a effettuare queste modifiche indipendentemente, occorrerà contattare il reparto tecnico, il provider di servizi di hosting, l'Internet service provider o il provider di DNS per richiedere la modifica dei record MX dei propri domini.

Al momento della creazione dell'account Sophos Central, è stata selezionata un'area geografica per la memorizzazione dei propri dati. I record MX dipendono da questa area geografica.

Modificare i record MX in modo che includano il nome del record associato all'area geografica nella quale si è scelto di memorizzare i dati.

Per scoprire quali record MX utilizzare, vedere Record MX Sophos.

Note

Verificare attentamente tutte le opzioni, in modo da trascrivere correttamente lettere e cifre.

L'uso di nomi di record MX diversi da quelli forniti ostacolerà il corretto flusso della posta elettronica.

Quando si modificano voci DNS come i record MX, è sempre consigliabile diminuire (a 600 ms o meno) il TTL molto prima dell'aggiornamento delle voci. Questo accorgimento farà in modo che la modifica si propaghi rapidamente e offre un modo rapido per annullare le modifiche, qualora sorgessero problemi durante la fase di test.

Creazione di una regola Google Workspace per i messaggi interni

Per impostazione predefinita, tutti i messaggi vengono inviati a Sophos Gateway utilizzando le destinazioni impostate nei record MX in entrata. È necessario creare una regola di routing in Google Workspace per indirizzare i messaggi interni sui server di Google.

Nota

Le seguenti istruzioni sono tratte dalla pagina Aggiungere server di posta per il routing email di Gmail della guida di Google. Prima di modificare la configurazione della posta elettronica, si consiglia di controllare la pagina pertinente della Guida di Google per verificare la presenza di eventuali aggiornamenti.

Per creare la regola, procedere come segue:

  1. Accedere alla Console di amministrazione Google.
  2. Nella Console di amministrazione, selezionare Menu > App > Google Workspace > Gmail > Host.
  3. Cliccare su Aggiungi percorso.
  4. Immettere un nome per il percorso (route) che consenta di ricordarlo, ad esempio Internal Messages.
  5. Selezionare Host multipli.

  6. Inserire i seguenti dettagli per l’Host principale:

    Opzione Valore
    Nome host aspmx.l.google.com
    Porta 25
    Carico 100%

  7. Immettere i seguenti dettagli per l'Host secondario:

    Opzione Valore
    Nome host alt1.aspmx.l.google.com
    Porta 25
    Carico 100%

  8. Selezionare Richiedi che la posta venga trasmessa tramite una connessione sicura TLS (opzione consigliata), e successivamente Richiedi certificato CA firmato (opzione consigliata).

  9. Cliccare su Save (Salva).
  10. Selezionare Applicazioni > Google Workspace > Gmail > Routing.

  11. Scorrere fino all’impostazione Routing e procedere in uno di questi modi:

    • Se non è stata ancora configurata una regola, cliccare su Configura.
    • Se è già stata configurata una regola, cliccare su Aggiungi un’altra regola.

  12. Inserire un nome per l’impostazione di routing, ad es. Internal Emails Route Rule.

  13. In Messaggi email interessati, selezionare Interna - invio.
  14. Nel passaggio 2, selezionare Modifica messaggio dall’elenco a discesa, cliccare su Cambia percorso e modificare il percorso impostandolo su Messaggi interni.

  15. Cliccare su Mostra opzioni e assicurarsi che siano selezionati i seguenti tipi di account:

    • Utenti
    • Gruppi

  16. Nell’opzione C, Filtro busta, selezionare Viene applicato solo a mittenti della busta specifici e successivamente Corrispondenza pattern dall’elenco a discesa. Inserire quindi il dominio nel campo Regexp. Ad esempio example.com.

  17. Cliccare su Save (Salva).

    L'implementazione delle modifiche può richiedere fino a 24 ore. È possibile monitorare le modifiche nel log di controllo per gli Amministratori di Google Workspace.

Test e conferma del flusso di posta

Una volta aggiornati i record MX, inviare un messaggio di prova a una qualsiasi delle proprie caselle di posta protette con Sophos Gateway. Inviare il messaggio di prova da un indirizzo che non appartiene al proprio dominio di posta.

Per confermare che il messaggio è stato instradato attraverso Sophos Email, consultare il report Cronologia dei messaggi.

Per accedere al report, procedere come segue:

  1. Accedere a Sophos Central.

  2. Selezionare Report > Cronologia dei messaggi.

    Se i messaggi vengono instradati attraverso il sistema, questo report ne conterrà le voci.

Se la posta non viene instradata, non si riceveranno messaggi e-mail nella casella di posta in arrivo di prova. Svolgere i seguenti passaggi:

  1. Verificare che i record MX siano corretti per la propria area geografica.
  2. Verificare di aver impostato correttamente gli IP di consegna Sophos nel gateway, nel firewall o nel connettore.
  3. Verificare che la casella di posta a cui si inviano i messaggi sia presente in Sophos Email Security.

Se sono stati svolti tutti i passaggi di cui sopra e la posta continua a non essere instradata correttamente nel proprio dominio, contattare il Supporto di Sophos.