Vai al contenuto

Gestione delle e-mail in uscita per Google Workspace

È possibile configurare Sophos Gateway in modo che gestisca le e-mail in uscita per Google Workspace (in precedenza Google G Suite).

Nota

Le seguenti istruzioni sono tratte dalla pagina Configurare un gateway della posta in uscita della guida di Google, pubblicata il 12 febbraio 2021. Prima di modificare la configurazione della posta elettronica, si consiglia di controllare la pagina pertinente della guida di Google per verificare la presenza di eventuali aggiornamenti.

Per configurare la scansione dei messaggi in uscita dal proprio account Google Workspace, procedere come segue:

  1. Accedere a Sophos Central.
  2. Cliccare su Email Security > Impostazioni > Impostazioni di dominio/Stato.
  3. Selezionare il dominio.
  4. Selezionare In ingresso e in uscita come direzione, sotto Configura dominio.
  5. Nel menù a discesa Gateway in uscita, selezionare Google Apps Gmail.
  6. Cliccare su Salva.
  7. Cliccare quindi su Configura dipendenze esterne.
  8. Cliccare su Impostazioni in uscita.
  9. Copiare l'indirizzo dell'Host relay in uscita.
  10. Accedere alla Console di amministrazione Google.
  11. Selezionare Applicazioni > Google Workspace > Gmail > Impostazioni avanzate.
  12. Nella sezione Organizzazione, selezionare l'organizzazione di primo livello.
  13. Scorrere fino all'impostazione Gateway in uscita nella sezione Routing e incollare l'indirizzo dell'host relay in uscita copiato in precedenza.
  14. Cliccare su Salva.

Nota

La propagazione delle modifiche potrebbe richiedere diversi minuti.

Aggiornamento del record SPF del proprio dominio

Se si effettua l'autenticazione delle e-mail in uscita con un record SPF o con DMIM, potrebbe essere necessario aggiornare la configurazione.

L'organizzazione dovrebbe aver già fornito il record SPF per i domini registrati a Google Workspace. Occorre aggiornare questo record nella zona DNS corrispondente al dominio interessato.

È possibile sostituire il record SPF esistente o aggiungervi dati, a seconda delle proprie esigenze.

Di solito il record viene sostituito. Tuttavia, se la posta in uscita viene instradata simultaneamente attraverso Sophos Gateway e Google Workspace per un determinato periodo di tempo, è possibile aggiungere un'istruzione di inclusione per Sophos Gateway al record SPF esistente.

È possibile utilizzare il parametro all in diversi modi. Occorre comprendere come svolgere questa operazione e quali sono le implicazioni della scelta effettuata.

  • Errore bloccante:

    È possibile utilizzare un trattino (-) prima del parametro all per un "errore bloccante". Se la posta non viene inviata da Sophos Gateway e i server di posta dei destinatari effettuano controlli SPF, le e-mail verranno rifiutate.

  • Errore non bloccante:

    In alternativa, è possibile utilizzare una tilde (~) prima del parametro all per un "errore non bloccante". Il comando non risulterà non riuscito se un indirizzo IP non esiste, bensì continuerà a elaborare il resto degli indirizzi IP. Se i server di posta dei destinatari effettuano controlli SPF, le e-mail non verranno rifiutate.

Domini SPF di Sophos

Quando si sostituiscono o si aggiungono voci al record SPF, bisogna utilizzare uno dei domini Sophos.

Si può utilizzare _spf.prod.hydra.sophos.com, che è comune in Stati Uniti (Ovest), Stati Uniti (Est), Germania e Irlanda.

È possibile utilizzare il dominio specifico del data center Sophos della propria area geografica.

Datacenter Dominio
us-west-2 _spf_uswest2.prod.hydra.sophos.com
us-east-2 _spf_useast2.prod.hydra.sophos.com
eu-west-1 _spf_euwest1.prod.hydra.sophos.com
eu-central-1 _spf_eucentral1.prod.hydra.sophos.com
ca-central-1 _spf.eml100yul.ctr.sophos.com
ap-southeast-2 _spf.eml100syd.ctr.sophos.com
ap-northeast-1 _spf.eml100hnd.ctr.sophos.com

Avviso

Dopo la modifica del record SPF, potrebbe essere visualizzato l'errore "SPF PermError: too many DNS lookups". Per risolvere questo problema, utilizzare il dominio specifico per il data center Sophos della propria area geografica, al posto di _spf.prod.hydra.sophos.com.

Per informazioni più dettagliate, vedere Come evitare l’errore SPF PermError: too many DNS lookups

Sostituzione del record SPF

Se la posta in uscita viene instradata solo attraverso Sophos Gateway, è possibile utilizzare il record SPF di Sophos Gateway.

  • Rimuovi v=spf1 include:spf.protection.outlook.com –all.
  • Se si è sicuri che non sono presenti terze parti che inviano messaggi e-mail per conto proprio e che tutte le e-mail vengono instradate attraverso Sophos Gateway, è possibile configurare il proprio record come segue:

    v=spf1 include:_spf.prod.hydra.sophos.com -all

  • Se non tutte le e-mail vengono instradate attraverso Sophos, o se non si è sicuri, utilizzare un errore non bloccante:

    v=spf1 include:_spf.prod.hydra.sophos.com ~all

Aggiunta al record SPF

Se per un periodo di tempo le e-mail in uscita vengono instradate simultaneamente sia attraverso Sophos Gateway che Google Workspace, è possibile lasciare immutato il record SPF originale e aggiungere un'istruzione di inclusione per Sophos Gateway.

  • Per utilizzare un'istruzione di inclusione per aggiungere il record di Sophos Gateway al record esistente, procedere come segue:

    SPF esistente: v=spf1 include:spf.protection.outlook.com -all

    Esempio con inclusione (include): SPF: v=spf1 include:spf.protection.outlook.com include:_spf.prod.hydra.sophos.com -all

Si consiglia di sostituire l'istruzione di inclusione con il record SPF di Sophos Gateway una volta che tutte le e-mail in uscita vengono instradate attraverso le soluzioni Sophos.

Verificare il corretto funzionamento del flusso di posta in uscita, inviando un'e-mail a un indirizzo esterno.

Per confermare che l'e-mail è stata inviata, procedere come segue:

  1. Accedere a Sophos Central.
  2. Selezionare Email Security > Log e Report > Cronologia dei messaggi.
  3. Selezionare la direzione in uscita.
  4. Aggiornare la schermata fino a quando non vengano visualizzati i dettagli dell'e-mail di prova inviata.
Torna su