Vai al contenuto

Configurazione di Google Workspace

Questo argomento indica come configurare Google Workspace (precedentemente G Suite) per il routing della posta elettronica tramite Sophos Gateway.

Aggiunta del dominio e verifica della proprietà

Nota

Quando si configura Sophos Gateway per l'elaborazione e la consegna delle e-mail per il proprio dominio, occorre fornire le seguenti informazioni:

  • Il nome del dominio di posta elettronica.
  • I record MX per Google Apps. Vedere Valori dei record MX di Google Workspace.
  • Il numero di porta utilizzato per l'ascolto del traffico SMTP sull'host di destinazione per la consegna dei messaggi di posta.

Per aggiungere il proprio dominio in Sophos Central, procedere come segue:

  1. Cliccare su Email Security > Impostazioni.
  2. Cliccare su Impostazioni dominio/stato.
  3. Cliccare su Aggiungi dominio.
  4. Immettere i dettagli del proprio dominio di posta elettronica.
  5. Configurare la destinazione di consegna.

    Per la destinazione di consegna e la porta, immettere MX e il valore routing-mx.<yourdomain.com> sulla porta 25. I valori MX del routing vengono configurati dopo la verifica della proprietà del dominio.

  6. Successivamente, cliccare su Verifica proprietà dominio.

  7. Copiare il valore TXT indicato nella finestra di dialogo Verifica proprietà dominio.

    Questo valore riguarda il proprio dominio di posta elettronica specifico.

  8. Creare un record DNS TXT nel livello di radice del nome di dominio (immesso nel passaggio 5) e incollare il valore TXT copiato nell'ultimo passaggio. È possibile attribuire lo stesso nome TXT indicato, oppure si può utilizzare @.

  9. Una volta salvata la nuova voce del record DNS TXT, cliccare su Verifica.

Una volta propagato l'aggiornamento DNS con il corretto valore TXT, si riceverà un messaggio che indica che la verifica del dominio ha avuto esito positivo.

Se l'aggiornamento DNS non è stato propagato o il valore immesso non è corretto, si riceverà un messaggio di errore. Confermare che il valore immesso è corretto.

Nota

Il processo di verifica del dominio potrebbe richiedere del tempo.

Configurazione dei valori MX del routing per Google Workspace

Per poter fornire un failover della connessione in entrata tra Sophos Gateway e Google Workspace, occorre impostare nuovi record MX su un nuovo sottodominio del proprio dominio di posta.

In questo esempio, si consiglia di utilizzare routing-mx.<yourdomain.com>.

Nota

Questa operazione è diversa dalla configurazione di record MX per la consegna dei messaggi di posta al proprio dominio. L'aggiunta di questi record non influisce sul traffico di posta in questo momento, poiché questi record vengono utilizzati solamente per la destinazione di consegna configurata in Sophos Email.

Le modalità di configurazione variano in base ai diversi provider DNS. In genere, il tipo viene specificato come MX, il nome host come routing-mx e la destinazione e la priorità come quelle indicate negli URL Google indicati nello screenshot che segue. È necessario impostare ASPMX.L.GOOGLE.COM come record con la priorità più alta.

“Esempio di record MX”

Nota

È possibile saltare questo passaggio e configurare la destinazione di consegna in modo tale che punti direttamente ad ASPMX.L.GOOGLE.COM. Tuttavia, se dovessero verificarsi problemi nel contattare ASPMX.L.GOOGLE.COM, il messaggio non verrà consegnato al server MX alternativo di Google.

Aggiunta di caselle di posta

È ora possibile aggiungere caselle di posta a Sophos Email Security. Vedere Aggiunta di caselle di posta.

Una volta aggiunte le caselle di posta, procedere con la configurazione del proprio ambiente Google Workspace.

Limitazione della consegna dei messaggi ai soli indirizzi IP Sophos

È possibile configurare la connessione al proprio host di posta elettronica in modo che utilizzi solamente i nostri indirizzi IP di consegna.

La limitazione degli indirizzi IP di consegna aggiunge ulteriore protezione all’integrazione tra Sophos Email e l’host di posta elettronica.

Avviso

Prima di procedere e apportare modifiche alla configurazione della posta elettronica della propria organizzazione, si consiglia vivamente di testare il flusso del traffico e-mail e la configurazione del dominio in un ambiente di prova o comunque non di produzione.

L’indirizzo IP di consegna da utilizzare dipende dall’area geografica in cui è ospitato il proprio account Sophos Central. Durante la creazione del proprio account Sophos Central, si sceglie il paese in cui archiviare i dati.

Avviso

È inoltre necessario aggiungere gli indirizzi IP Sophos all’elenco di IP autorizzati per il server di posta. Se non viene effettuata questa operazione, gli utenti non riceveranno le loro e-mail.

Per informazioni sugli indirizzi IP da utilizzare, vedere Indirizzi IP del gateway di posta Sophos.

Avviso

L’uso di un indirizzo IP diverso da quello specificato per la propria area geografica ostacolerà il corretto flusso della posta elettronica.

Errori DMARC dai server di posta elettronica di Google

Se sono state attivate le funzionalità ProtezioneTime-of-Click degli URL o Banner intelligenti nei criteri e-mail, è possibile che vengano segnalati errori DMARC per i messaggi in entrata.

Questo avviene perché Google non elabora in modo coerente le e-mail provenienti dagli indirizzi IP nel suo elenco di IP del gateway.

La documentazione di Google dice: “Gmail non esegue l’autenticazione SPF per i messaggi inviati da indirizzi IP inclusi nell’elenco degli IP del gateway. Il gateway in entrata dovrebbe eseguire i controlli DMARC. L’autenticazione DMARC viene bypassata per i messaggi in arrivo provenienti dagli host elencati”. Vedere la pagina [Configurare un gateway della posta in entrata](https://support.google.com/a/answer/60730?hl=en).

I nostri test dimostrano che questo non accade sempre e che Google contrassegna alcune e-mail come errori DMARC quando non dovrebbe effettuare controlli DMARC. Abbiamo segnalato il problema a Google.

Creazione di un Gateway in entrata in Google Workspace

Poiché si utilizza Sophos Gateway per filtrare la posta e poiché i record MX prevedono il reindirizzamento diretto verso Sophos, è consigliabile limitare la consegna dei messaggi verso Google Workspace in modo che siano autorizzati solamente gli IP di consegna di Sophos.

Nota

Le seguenti istruzioni sono tratte dalla pagina Configurare un gateway della posta in entrata della guida di Google. Prima di modificare la configurazione della posta elettronica, si consiglia di controllare la pagina pertinente della Guida di Google per verificare la presenza di eventuali aggiornamenti.

Per configurare questa impostazione, procedere come segue:

  1. Accedere alla Console di amministrazione Google.
  2. Selezionare Applicazioni > Google Workspace > Gmail > Impostazioni avanzate.
  3. Nella sezione Organizzazione, selezionare l'organizzazione di primo livello.
  4. Scorrere fino a Gateway in entrata nella sezione Spam.
  5. Cliccare su Configura.
  6. Immettere una descrizione per il gateway in entrata, ad esempio "Gateway in entrata di Sophos Email".
  7. Sotto IP gateway, cliccare su Aggiungi e immettere gli IP di Sophos Gateway corrispondenti alla propria area geografica. Occorrerà salvare dopo ciascuna voce immessa.
  8. Opzionale: Si possono aggiungere anche indirizzi IP per i server di Google. È stato segnalato che Google a volte blocca i propri indirizzi IP. Per un elenco aggiornato degli indirizzi IP di Google, vedere Individuare gli intervalli degli indirizzi IP di Google.
  9. Attivare:
    • Rileva automaticamente IP esterno (consigliato).
    • Rifiuta tutta la posta che non proviene da IP gateway, non FRP.
    • Richiedi TLS per le connessioni dai gateway email elencati sopra.
  10. Cliccare su Aggiungi impostazione o su Salva.
  11. Cliccare nuovamente su Salva nella parte inferiore della pagina.

Se il dominio è stato acquistato da Google, occorre impostare record personalizzati, poiché non è possibile modificare i record DNS predefiniti forniti da Google. Vedere Configurare Google Workspace con un host DNS di terze parti.

Se è stato aggiunto un indirizzo IP di Google nel passaggio opzionale, Google potrebbe comunque bloccare i propri indirizzi IP. In questo caso, verrà visualizzato il seguente messaggio:

Google tried to deliver your message, but it was rejected by the relay xxxx.yyyy.google.com. We recommend contacting the other email provider at postmaster@xxxx.yyyy.google.com for further information about the cause of this error. The error that the other server returned was: xxx.xxx.xxx.xxx IP not in whitelist for RCPT domain, closing connection.

La soluzione suggerita da Google è disattivare Rifiuta tutta la posta che non proviene da IP gateway. Si consiglia di eseguire questa operazione temporaneamente, finché il problema non viene risolto. Quando questa impostazione è disattivata, i mittenti e-mail possono instradare le e-mail direttamente sul gateway di posta elettronica, se non utilizzano la ricerca MX.

Modifica dei record MX per il reindirizzamento verso Sophos Gateway

La modifica dei record MX del proprio dominio per il reindirizzamento verso Sophos Gateway è essenziale per la corretta installazione del prodotto e per garantire il filtraggio e la consegna di tutte le e-mail.

Se non si dovesse riuscire a effettuare queste modifiche indipendentemente, occorrerà contattare il reparto tecnico, il provider di servizi di hosting, l'Internet service provider o il provider di DNS per richiedere la modifica dei record MX dei propri domini.

Al momento della creazione dell'account Sophos Central, è stata selezionata un'area geografica per la memorizzazione dei propri dati. I record MX dipendono da questa area geografica.

Modificare i record MX in modo che includano il nome del record associato all'area geografica nella quale si è scelto di memorizzare i dati.

Per informazioni sui record MX da utilizzare, vedere Record MX Sophos.

Note

Verificare attentamente tutte le opzioni, in modo da trascrivere correttamente lettere e cifre.

L'uso di nomi di record MX diversi da quelli forniti ostacolerà il corretto flusso della posta elettronica.

Quando si modificano voci DNS come i record MX, è sempre consigliabile diminuire (a 600 ms o meno) il TTL molto prima dell'aggiornamento delle voci. Questo accorgimento farà in modo che la modifica si propaghi rapidamente e offre un modo rapido per annullare le modifiche, qualora sorgessero problemi durante la fase di test.

Creazione di una regola Google Workspace per i messaggi interni

Per impostazione predefinita, tutti i messaggi vengono inviati a Sophos Gateway utilizzando le destinazioni impostate nei record MX in entrata. È necessario creare una regola di routing in Google Workspace per indirizzare i messaggi interni sui server di Google.

Nota

Le seguenti istruzioni sono tratte dalla pagina Aggiungere percorsi di posta per la consegna avanzata di Gmail della Guida di Google. Prima di modificare la configurazione della posta elettronica, si consiglia di controllare la pagina pertinente della Guida di Google per verificare la presenza di eventuali aggiornamenti.

Per creare la regola, procedere come segue:

  1. Accedere alla Console di amministrazione Google con il proprio account di amministratore di dominio.
  2. Selezionare Applicazioni > Google Workspace > Gmail > Host.
  3. Cliccare su Aggiungi percorso.
  4. Immettere un nome per il percorso (route) che consenta di ricordarlo, ad esempio Internal Messages.
  5. Selezionare Host multipli.
  6. Immettere i seguenti dettagli per l'host principale:

    Opzione Valore
    Nome host aspmx.l.google.com
    Porta 25
    Carico 100%
  7. Cliccare su Aggiungi primario.

  8. Immettere i seguenti dettagli per l'Host secondario:

    Opzione Valore
    Nome host alt1.aspmx.l.google.com
    Porta 25
    Carico 100%
  9. Cliccare su Aggiungi secondario.

  10. Selezionare Richiedi che la posta venga trasmessa tramite una connessione sicura TLS (opzione consigliata).
  11. Selezionare Richiedi certificato CA firmato (opzione consigliata).
  12. Cliccare su Salva.

    L'implementazione delle modifiche può richiedere fino a 24 ore. È possibile monitorare le modifiche nel log di controllo per gli Amministratori di Google Workspace.

Prova e conferma del traffico e-mail

Una volta aggiornati i record MX, inviare un messaggio di prova a una qualsiasi delle proprie caselle di posta protette con Sophos Gateway. Inviare il messaggio di prova da un indirizzo che non appartiene al proprio dominio di posta.

Per confermare che il messaggio è stato instradato attraverso Sophos Email, consultare il report Cronologia dei messaggi.

Per accedere al report, procedere come segue:

  1. In Sophos Central, cliccare su Log e report.
  2. Cliccare su Cronologia dei messaggi.

    Se i messaggi vengono instradati attraverso il sistema, questo report ne conterrà le voci.

Se la posta non viene instradata, non si riceveranno messaggi e-mail nella casella di posta in arrivo di prova. Svolgere i seguenti passaggi:

  1. Verificare che i record MX siano corretti per la propria area geografica.
  2. Verificare di aver impostato correttamente gli IP di consegna Sophos nel gateway, nel firewall o nel connettore.
  3. Verificare che la casella di posta a cui si inviano i messaggi sia presente in Sophos Email Security.

Se sono stati svolti tutti i passaggi di cui sopra e la posta continua a non essere instradata correttamente nel proprio dominio, contattare il Supporto di Sophos.

Torna su