Configurazione di Google Workspace

Questo argomento indica come configurare Google Workspace (precedentemente G Suite) per il routing della posta elettronica tramite Sophos Gateway.

Aggiunta del dominio e verifica della proprietà

Per aggiungere il proprio dominio in Sophos Central, procedere come segue:

1. Accedere a Sophos Central.
2. Aprire Prodotti > Impostazioni generali > Impostazioni dominio / stato.
3. Cliccare su Aggiungi dominio.
4. Immettere i dettagli del proprio dominio di posta elettronica.

5. Configurare la destinazione di consegna.

   Per la destinazione di consegna e la porta, immettere MX e il valore routing-mx.<yourdomain.com> sulla porta 25. I valori MX del routing vengono configurati dopo la verifica della proprietà del dominio.

6. Successivamente, cliccare su Verifica proprietà dominio.

7. Copiare il valore TXT indicato nella finestra di dialogo Verifica proprietà dominio.

   Questo valore riguarda il proprio dominio di posta elettronica specifico.

8. Creare un record DNS TXT nel livello di radice del nome di dominio (immesso nel passaggio 5) e incollare il valore TXT copiato nell'ultimo passaggio. È possibile attribuire lo stesso nome TXT indicato, oppure si può utilizzare @.

9. Una volta salvata la nuova voce del record DNS TXT, cliccare su Verifica.

Una volta propagato l'aggiornamento DNS con il corretto valore TXT, si riceverà un messaggio che indica che la verifica del dominio ha avuto esito positivo.

Se l'aggiornamento DNS non è stato propagato o il valore immesso non è corretto, si riceverà un messaggio di errore. Confermare che il valore immesso è corretto.

Configurazione dei valori MX del routing per Google Workspace

Per poter fornire un failover della connessione in entrata tra Sophos Gateway e Google Workspace, occorre impostare nuovi record MX su un nuovo sottodominio del proprio dominio di posta.

In questo esempio, si consiglia di utilizzare routing-mx.<yourdomain.com>.

Le modalità di configurazione variano in base ai diversi provider DNS. In genere, il tipo viene specificato come MX, il nome host come routing-mx e la destinazione e la priorità come quelle indicate nelle istruzioni fornite da Google.

• Chi ha eseguito la registrazione a Google Workspace prima del 2023 deve avere ASPMX.L.GOOGLE.COM come record con la priorità più alta.

  

• Chi ha eseguito la registrazione a Google Workspace nel 2023 o più tardi deve solo inserire una voce che punta a SMTP.GOOGLE.COM.

Aggiunta di caselle di posta

È ora possibile aggiungere caselle di posta a Sophos Email Security. Vedere Aggiunta di caselle di posta.

Una volta aggiunte le caselle di posta, procedere con la configurazione del proprio ambiente Google Workspace.

Limitazione della consegna dei messaggi ai soli indirizzi IP Sophos

È possibile configurare la connessione al proprio host di posta elettronica in modo che utilizzi solamente i nostri indirizzi IP di consegna.

La limitazione degli indirizzi IP di consegna aggiunge ulteriore protezione all’integrazione tra Sophos Email e l’host di posta elettronica.

L’indirizzo IP di consegna da utilizzare dipende dall’area geografica in cui è ospitato il proprio account Sophos Central. Durante la creazione del proprio account Sophos Central, si sceglie il paese in cui archiviare i dati.

Per informazioni sugli indirizzi IP da utilizzare, vedere Indirizzi IP del gateway di posta Sophos.

Errori DMARC dai server di posta elettronica di Google

Se sono state attivate le funzionalità ProtezioneTime-of-Click degli URL o Impostazioni dei messaggi per gli utenti finali nei criteri e-mail, è possibile che vengano segnalati errori DMARC per i messaggi in entrata.

Questo avviene perché Google non elabora in modo coerente le e-mail provenienti dagli indirizzi IP nel suo elenco di IP del gateway.

La documentazione di Google dice: “Gmail non esegue l’autenticazione SPF per i messaggi inviati da indirizzi IP inclusi nell’elenco degli IP del gateway. Il gateway in entrata dovrebbe eseguire i controlli DMARC. L’autenticazione DMARC viene bypassata per i messaggi in arrivo provenienti dagli host elencati”. Vedere la pagina Configurare un gateway della posta in entrata.

I nostri test dimostrano che questo non accade sempre e che Google contrassegna alcune e-mail come errori DMARC quando non dovrebbe effettuare controlli DMARC. Abbiamo segnalato il problema a Google.

Creazione di un Gateway in entrata in Google Workspace

Poiché si utilizza Sophos Gateway per filtrare la posta e poiché i record MX prevedono il reindirizzamento diretto verso Sophos, è consigliabile limitare la consegna dei messaggi verso Google Workspace in modo che siano autorizzati solamente gli IP di consegna di Sophos.

Per configurare questa impostazione, procedere come segue:

1. Accedere alla Console di amministrazione Google.
2. Nella console di amministrazione, selezionare Menu > App > Google Workspace > Gmail > Spam, phishing e malware.
3. Sulla sinistra, selezionare l’organizzazione di primo livello. Di solito si tratta del proprio dominio.
4. Scorrere fino a Gateway in entrata e cliccare su Modifica gateway in entrata.
5. Immettere un descrizione per il Gateway in entrata, ad esempio: Sophos Email Inbound Gateway.
6. In IP gateway, cliccare su Aggiungi.

7. In Aggiungi indirizzo/intervallo IP, immettere gli IP Sophos Gateway corrispondenti alla propria area geografica e cliccare su Salva.

   (Opzionale) Si possono aggiungere anche indirizzi IP per i server di Google. È stato segnalato che Google a volte blocca i propri indirizzi IP. Per un elenco aggiornato degli indirizzi IP di Google, vedere Individuare gli intervalli degli indirizzi IP di Google.

8. Attivare:

   • Rileva automaticamente IP esterno (consigliato).
   • Rifiuta tutta la posta che non proviene da IP gateway, non FRP.
   • Richiedi TLS per le connessioni dai gateway email elencati sopra.

9. Cliccare su Salva.

L'implementazione delle modifiche può richiedere fino a 24 ore.

Se il dominio è stato acquistato da Google, occorre impostare record personalizzati, poiché non è possibile modificare i record DNS predefiniti forniti da Google. Vedere Configurare Google Workspace con un host DNS di terze parti.

Se è stato aggiunto un indirizzo IP di Google nel passaggio opzionale, Google potrebbe comunque bloccare i propri indirizzi IP. In questo caso, verrà visualizzato il seguente messaggio:

Google tried to deliver your message, but it was rejected by the relay xxxx.yyyy.google.com. We recommend contacting the other email provider at postmaster@xxxx.yyyy.google.com for further information about the cause of this error. The error that the other server returned was: xxx.xxx.xxx.xxx IP not in whitelist for RCPT domain, closing connection.

La soluzione suggerita da Google è disattivare Rifiuta tutta la posta che non proviene da IP gateway. Si consiglia di eseguire questa operazione temporaneamente, finché il problema non viene risolto. Quando questa impostazione è disattivata, i mittenti e-mail possono instradare le e-mail direttamente sul gateway di posta elettronica, se non utilizzano la ricerca MX.

Modifica dei record MX per il reindirizzamento verso Sophos Gateway

La modifica dei record MX del proprio dominio per il reindirizzamento verso Sophos Gateway è essenziale per la corretta installazione del prodotto e per garantire il filtraggio e la consegna di tutte le e-mail.

Se non si dovesse riuscire a effettuare queste modifiche indipendentemente, occorrerà contattare il reparto tecnico, il provider di servizi di hosting, l'Internet service provider o il provider di DNS per richiedere la modifica dei record MX dei propri domini.

Al momento della creazione dell'account Sophos Central, è stata selezionata un'area geografica per la memorizzazione dei propri dati. I record MX dipendono da questa area geografica.

Modificare i record MX in modo che includano il nome del record associato all'area geografica nella quale si è scelto di memorizzare i dati.

Per informazioni sui record MX da utilizzare, vedere Record MX Sophos.

Note

Verificare attentamente tutte le opzioni, in modo da trascrivere correttamente lettere e cifre.

L'uso di nomi di record MX diversi da quelli forniti ostacolerà il corretto flusso della posta elettronica.

Quando si modificano voci DNS come i record MX, è sempre consigliabile diminuire (a 600 ms o meno) il TTL molto prima dell'aggiornamento delle voci. Questo accorgimento farà in modo che la modifica si propaghi rapidamente e offre un modo rapido per annullare le modifiche, qualora sorgessero problemi durante la fase di test.

Creazione di una regola Google Workspace per i messaggi interni

Per impostazione predefinita, tutti i messaggi vengono inviati a Sophos Gateway utilizzando le destinazioni impostate nei record MX in entrata. È necessario creare una regola di routing in Google Workspace per indirizzare i messaggi interni sui server di Google.

Per creare la regola, procedere come segue:

1. Accedere alla Console di amministrazione Google.
2. Nella Console di amministrazione, selezionare Menu > App > Google Workspace > Gmail > Host.
3. Cliccare su AGGIUNGI PERCORSO.
4. Immettere un nome per il percorso (route) che consenta di ricordarlo, ad esempio Internal Messages.
5. Selezionare Host multipli.

6. Inserire i seguenti dettagli per l’Host principale:

   Opzione	Valore
   Nome host	aspmx.l.google.com
   Porta	25
   Carico	100%

7. Immettere i seguenti dettagli per l'Host secondario:

   Opzione	Valore
   Nome host	alt1.aspmx.l.google.com
   Porta	25
   Carico	100%

8. Selezionare Richiedi che la posta venga trasmessa tramite una connessione sicura TLS (opzione consigliata), e successivamente Richiedi certificato CA firmato (opzione consigliata).

9. Cliccare su SAVE (Salva).
10. Selezionare Applicazioni > Google Workspace > Gmail > Routing.

11. Scorrere fino all’impostazione Routing e procedere in uno di questi modi:

    • Se non è stata ancora configurata una regola, cliccare su CONFIGURA.
    • Se è già stata configurata una regola, cliccare su AGGIUNGI UN’ALTRA REGOLA.

12. Inserire un nome per l’impostazione di routing, ad es. Internal Emails Route Rule.

13. In Messaggi email interessati, selezionare Interna - invio.
14. Nel passaggio 2, selezionare Modifica messaggio dall’elenco a discesa e successivamente Cambia percorso.

15. Cliccare su Mostra opzioni e assicurarsi che siano selezionati i seguenti tipi di account:

    • Utenti
    • Gruppi

16. Nell’opzione C, Filtro busta, selezionare Viene applicato solo a mittenti della busta specifici e successivamente Corrispondenza pattern dall’elenco a discesa. Inserire quindi il dominio nel campo Regexp. Ad esempio example.com.

17. Cliccare su SAVE (Salva).

    L'implementazione delle modifiche può richiedere fino a 24 ore. È possibile monitorare le modifiche nel log di controllo per gli Amministratori di Google Workspace.

Test e conferma del flusso di posta

Una volta aggiornati i record MX, inviare un messaggio di prova a una qualsiasi delle proprie caselle di posta protette con Sophos Gateway. Inviare il messaggio di prova da un indirizzo che non appartiene al proprio dominio di posta.

Per confermare che il messaggio è stato instradato attraverso Sophos Email, consultare il report Cronologia dei messaggi.

Per accedere al report, procedere come segue:

1. Accedere a Sophos Central.

2. Selezionare Report > Cronologia dei messaggi.

   Se i messaggi vengono instradati attraverso il sistema, questo report ne conterrà le voci.

Se la posta non viene instradata, non si riceveranno messaggi e-mail nella casella di posta in arrivo di prova. Svolgere i seguenti passaggi:

1. Verificare che i record MX siano corretti per la propria area geografica.
2. Verificare di aver impostato correttamente gli IP di consegna Sophos nel gateway, nel firewall o nel connettore.
3. Verificare che la casella di posta a cui si inviano i messaggi sia presente in Sophos Email Security.

Se sono stati svolti tutti i passaggi di cui sopra e la posta continua a non essere instradata correttamente nel proprio dominio, contattare il Supporto di Sophos.