Pular para o conteúdo

Permalink da página

Sempre use o permalink a seguir ao fazer referência a esta página. Ele permanecerá inalterado nas versões de ajuda futuras.

https://docs.sophos.com/central/customer/help/pt-br/index.html?contextId=email-configuration-Google

Configurar o Google Workspace

Este tópico explica como configurar o Google Workspace (anteriormente G Suite) para rotear e-mails através do Sophos Gateway.

Adicionar o seu domínio e verificar a propriedade

Nota

Ao configurar o Sophos Gateway, você deve fornecer as seguintes informações para processar e entregar e-mails para o seu domínio:

  • O nome do seu domínio de e-mail.
  • Os registros MX do Google Apps. Consulte Valores do registro MX do Google Workspace.
  • O número da porta usada para escutar o tráfego SMTP no host de destino de entrega de correio.

Para adicionar o seu domínio no Sophos Central, faça o seguinte:

  1. Faça login no Sophos Central.
  2. Vá para Meus produtos > Configurações gerais > Configurações / Status do domínio.
  3. Clique em Adicionar domínio.
  4. Insira os detalhes do seu domínio de e-mail.

  5. Configure o seu destino de entrega.

    Para saber o destino e a porta de entrega, insira MX e o valor routing-mx.<yourdomain.com> na Porta 25. Você configura os seus valores de roteamento MX após verificar a propriedade do domínio.

  6. Em seguida, clique em Verificar propriedade de domínio.

  7. Copie o valor TXT que aparece no diálogo Verificar propriedade de domínio.

    Esse valor é específico ao seu domínio de e-mail.

  8. Crie um registro TXT DNS no nível raiz do nome do domínio (inserido na etapa 5) e cole o valor TXT copiado na última etapa. Você pode dar o mesmo nome TXT ao registro conforme exibido ou usar @.

  9. Depois que a entrada do novo registro TXT DNS for salva, clique em Verificar.

Quando o DNS atualizado com o valor TXT correto for propagado, você recebe uma mensagem indicando que a verificação de domínio foi bem-sucedida.

Se a atualização de DNS não tiver se propagado, ou se o valor inserido estiver incorreto, você recebe uma mensagem de falha. Confirme que o valor inserido está correto.

Nota

O processo de verificação de domínio poderá demorar um pouco para ser concluído.

Configurar valores de roteamento mx para entregar ao Google Workspace

Para fornecer failover para a conexão de entrada entre o Sophos Gateway e o Google Workspace, é preciso definir novos registros MX em um novo subdomínio do seu domínio de mensagem.

Neste exemplo, recomendamos usar routing-mx.<yourdomain.com>.

Nota

Isso é diferente de configurar os registros MX para a entrega de mensagens no seu próprio domínio. Adicionar esses registros não afeta o tráfego de e-mail ainda, pois esses registros são usados apenas para o destino de entrega configurado no Sophos Email.

Como configurar isso varia com diferentes provedores de DNS. Normalmente, você digitaria o tipo como MX, o nome do host como routing-mx e o destino e a prioridade de acordo com as instruções do Google.

  • Se você se inscreveu no Google Workspace antes de 2023, deve ter ASPMX.L.GOOGLE.COM como o registro de prioridade mais alta.

    "Exemplo de registros MX anteriores à inscrição no 2023 Google Workspace".

  • Se você se inscreveu no Google Workspace em 2023 ou depois, só precisa de uma entrada apontando para SMTP.GOOGLE.COM.

Nota

Você pode ignorar esse passo e configurar o destino de entrega para que aponte diretamente para ASPMX.L.GOOGLE.COM. Mas, caso haja algum problema para conectar-se ao ASPMX.L.GOOGLE.COM, a mensagem não será entregue ao servidor MX alternativo do Google.

Adicionar caixas de correio

Você pode adicionar caixas de correio ao Sophos Email Security. Consulte Adicionar caixas de correio.

Depois de adicionar suas caixas de correio, continue a configurar o seu ambiente do Google Workspace.

Restringir a entrega a endereços de IP da Sophos

Você pode configurar a conexão a seu host de e-mail para usar apenas nossos IPs de entrega.

Restringir os IPs de entrega adiciona segurança extra à integração entre o Sophos Email e o host de mensagens.

Alerta

Antes de continuar, é altamente recomendável que o tráfego de e-mails e a configuração de domínio sejam testados em um ambiente de não produção ou de teste, antes de fazer alterações à configuração de e-mails da sua organização.

O endereço IP específico de entrega que você precisa usar depende da região na qual a sua conta do Sophos Central está hospedada. Ao criar a sua conta do Sophos Central, você escolhe em qual país armazenar os seus dados.

Alerta

Você também deve adicionar os endereços de IP da Sophos à lista de permissão de IP do seu servidor de e-mail. Se não o fizer, os seus usuários não receberão e-mails.

Para saber quais endereços IP usar, consulte Endereços IP do gateway de e-mail da Sophos.

Alerta

Usar outro endereço IP que não o especificado para a sua região criará problemas no fluxo de correio.

Falhas do DMARC em servidores de e-mail do Google

Se você ativou a Proteção de URL Time-of-Click ou os Configurações da mensagem de usuário final em suas políticas de e-mail, poderá ver falhas de DMARC relatadas em mensagens recebidas.

Isso ocorre porque o Google não processa e-mails de endereços IP de forma consistente em sua lista de IPs de gateway.

A documentação do Google diz: "O Gmail não faz a autenticação SPF para mensagens enviadas de endereços IP na lista 'IPs de gateway'. O gateway de entrada precisa fazer verificações do DMARC. A autenticação DMARC é ignorada para mensagens recebidas de hosts listados." Consulte Configurar um gateway de e-mail de entrada.

Nossos testes mostram que isso nem sempre acontece, e o Google marca alguns e-mails como falhas de DMARC quando não deveria estar fazendo verificações de DMARC. Nós já levamos isso ao conhecimento do Google.

Criar um gateway de recebimento no Google Workspace

Como você está usando o Sophos Gateway para filtrar suas mensagens e ter os seus registros MX apontados diretamente para nós, é preciso restringir a entrega ao Google Workspace para apenas IPs do Sophos Delivery.

Nota

As instruções a seguir são extraídas da ajuda do Google Configurar um gateway de e-mail de entrada. Recomendamos que consulte a ajuda do Google para obter atualizações antes de alterar a configuração do seu e-mail.

Para definir essa configuração, siga este procedimento:

  1. Conecte-se ao seu Google Admin Console.
  2. No Admin Console, acesse Menu > Apps > Google Workspace > Gmail > Spam, Phishing & Malware.
  3. À esquerda, selecione sua organização no nível superior. Este é geralmente o seu domínio.
  4. Role até Gateway de entrada e clique em Editar Gateway de entrada.
  5. Digite uma descrição para o seu gateway de entrada, por exemplo, Sophos Email Inbound Gateway.
  6. Em IPs do gateway, clique em Adicionar.

  7. Em Adicionar endereço/intervalo de IP, digite os IPs dos gateways da Sophos que correspondem à sua região e clique em Salvar.

    (Opcional) Você também pode adicionar endereços IP dos servidores do Google. Há relatos de que o Google às vezes bloqueia seus próprios endereços IP. Para encontrar a lista atual de endereços IP do Google, consulte Acessar intervalos de endereços IP do Google.

  8. Ativar:

    • Detectar IP externo automaticamente (recomendado).
    • Rejeitar todos os e-mails não provenientes de IPs de gateway.
    • Exigir TLS para conexões dos gateways de e-mail listados acima.

  9. Clique em Salvar.

As alterações podem levar até 24 horas para entrar em vigor.

Se adquiriu seu domínio do Google, você deve configurar registros personalizados, pois não é possível editar os registros DNS padrão fornecidos pelo Google. Consulte Configurar o Google Workspace com um host de DNS de terceiros.

Se você adicionou um endereço IP do Google na etapa opcional, o Google ainda pode bloquear seus próprios endereços IP. Se isso acontecer, você verá a seguinte mensagem:

Google tried to deliver your message, but it was rejected by the relay xxxx.yyyy.google.com. We recommend contacting the other email provider at postmaster@xxxx.yyyy.google.com for further information about the cause of this error. The error that the other server returned was: xxx.xxx.xxx.xxx IP not in whitelist for RCPT domain, closing connection.

A solução sugerida pelo Google é desativar Rejeitar todos os e-mails não provenientes de IPs de gateway. Recomendamos que você faça isso temporariamente, até que o problema seja resolvido. Enquanto essa configuração estiver desativada, os remetentes de e-mail podem encaminhar os e-mails diretamente para o seu gateway de e-mail se não usarem a busca MX.

Alterar seus registros MX para apontar para o Sophos Gateway

Alterar os registros MX do seu domínio para apontar para o Sophos Gateway é crucial para a implantação bem-sucedida e para assegurar que todos os e-mails sejam filtrados e entregues.

Se você não conseguir fazer essas alterações sozinho, contate o seu departamento de TI, provedor de host, ISP ou provedor de Serviço de Nome de Domínio e solicite que os registros MX dos seus domínios sejam modificados.

Quando criou sua conta do Sophos Central, você selecionou uma região na qual armazenar seus dados. Os seus registros MX dependem dessa região.

Altere seus registros MX para que incluam o nome dos registros associados à região que você escolheu para armazenar seus dados.

Para saber quais registros MX usar, consulte Registros MX da Sophos.

Notas

Fique atento para que todas as opções reflitam letras e números corretamente.

Usar outros nomes de registros MX que não os fornecidos cria problemas no fluxo de correio.

Ao alterar as entradas DNS, como registros MX, recomendamos que você diminua o TTL (para 600 ms ou menos) bem antes da atualização das entradas. Isso permite que a alteração se propague rapidamente, e oferece uma maneira rápida de reverter as alterações, caso surja algum problema durante o teste.

Criar regra do Google Workspace para mensagens internas

Por padrão, todas as suas mensagens são enviadas para o Sophos Gateway, usando os destinos definidos em seus registros MX de entrada. Você deve criar uma regra de roteamento no Google Workspace para direcionar mensagens internas para os servidores do Google.

Nota

As instruções a seguir foram extraídas da página de ajuda Adicionar rotas de e-mail para a entrega avançada do Gmail do Google. Recomendamos que consulte a ajuda do Google para obter atualizações antes de alterar a configuração do seu e-mail.

Para criar a regra, faça o seguinte:

  1. Conecte-se ao seu Google Admin Console.
  2. No Admin Console, acesse Menu > Apps > Google Workspace > Gmail > Hosts.
  3. Clique em Adicionar rota.
  4. Insira um nome de rota que ajude você a se lembrar da rota, por exemplo, Internal Messages.
  5. Selecione Múltiplos hosts.

  6. Insira os detalhes do Host principal da seguinte forma:

    Opção Valor
    Nome de host aspmx.l.google.com
    Porta 25
    Carga 100%

  7. Insira os detalhes do Host secundário da seguinte forma:

    Opção Valor
    Nome de host alt1.aspmx.l.google.com
    Porta 25
    Carga 100%

  8. Selecione Exigir que o e-mail seja transmitido por uma conexão segura TLS (recomendado), depois selecione Exigir um certificado assinado pela autoridade de certificação (recomendado).

  9. Clique em SAVE.
  10. Vá para Apps > Google Workspace > Gmail > Routing.

  11. Role até a configuração Routing e, em seguida, execute um dos seguintes procedimentos:

    • Se ainda não configurou uma regra, clique em CONFIGURE.
    • Se você já configurou uma regra, clique em ADD ANOTHER RULE.

  12. Digite um nome para a configuração do roteamento, por exemplo Internal Emails Route Rule.

  13. Em Email messages to affect, selecione Internal - Sending.
  14. Na etapa 2, selecione Modify message na lista suspensa e selecione Change route.

  15. Clique em Show options e certifique-se de que os seguintes tipos de conta estão selecionados:

    • Usuários
    • Grupos

  16. Na opção C, Envelope filter, selecione Only affect specific envelope senders, selecione Pattern Match na lista suspensa e insira seu domínio no campo Regexp. Por exemplo, example.com.

  17. Clique em SAVE.

    As alterações podem levar até 24 horas para entrar em vigor. Você pode rastrear alterações no log de auditoria de Admin do Google Workspace.

Testar e confirmar o fluxo de e-mails

Após atualizar seus registros MX, envie uma mensagem de teste para uma de suas caixas de correio protegidas pelo Sophos Gateway. Envie sua mensagem de teste de um endereço fora do seu domínio de e-mail.

Para confirmar que a mensagem seguiu através do Sophos Email, examine o relatório de Histórico de mensagens.

Para acessar o relatório, faça o seguinte:

  1. Faça login no Sophos Central.

  2. Vá para Relatórios > Histórico de mensagens.

    Se as mensagens estão passando pelo sistema, você vê entradas no relatório.

Se o e-mail não está fluindo, você não está recebendo e-mails na sua caixa de entrada de teste. Siga estes passos:

  1. Verifique se os seus registros MX estão corretos para a sua região.
  2. Verifique se você configurou corretamente os IPs do Sophos Delivery no seu gateway, firewall ou conector.
  3. Verifique se a caixa de correio da qual você está enviando existe no Sophos Email Security.

Se você seguiu todos esses passos e a mensagem ainda não passa pelo seu domínio, entre em contato com o suporte do Sophos.