跳至內容

設定 Google Workspace

本主題說明如何設定 Google Workspace(之前稱為 G Suite),以透過 Sophos Gateway 路由傳送電子郵件。

新增您的網域並驗證擁有權

注意

設定 Sophos Gateway 時必須提供下列資訊,以處理並傳送您網域的電子郵件:

  • 您的電子郵件網域名稱。
  • Google Apps 的 MX 紀錄。請參閱 Google Workspace MX 記錄值
  • 用來接聽 SMTP 流量的連接埠編號位於郵件傳送目的地主機上。

若要將網域新增到 Sophos Central,請依照以下步驟操作:

  1. 按一下 電子郵件安全性 > 設定
  2. 點選網域設定 / 狀態
  3. 按一下 新增網域
  4. 輸入您的電子郵件網域詳情。
  5. 設定您的傳送目的地。
    1. 有關傳送目的地和埠,請輸入 MX 以及埠 25 上的值 routing-mx.<yourdomain.com>。您會在驗證網域擁有權後設定路由 MX 值。
  6. 然後,按一下 驗證網域擁有權
  7. 複製 驗證網域擁有權 對話中顯示的 TXT 值。

    這是您電子郵件網域的專屬值。

  8. 在網域名稱的根層級建立 TXT DNS 紀錄(在步驟 5 中輸入),並貼上前一個步驟中複製的 TXT 值。您可以使用與顯示值相同的 TXT 名稱,或使用 @

  9. 新的 TXT DNS 記錄項目儲存後,按一下 驗證

傳播使用正確的 TXT 值更新的 DNS 之後,您將收到一條訊息,表示網域驗證已成功。

如果 DNS 更新尚未傳播,或輸入的值不正確,您會收到失敗訊息。請確認輸入的值正確無誤。

注意

網域驗證程序可能需要花費一些時間來完成。

設定 routing-mx 值以遞送至 Google Workspace

若要為 Sophos Gateway 和 Google Workspace 間的內送連接提供容錯移轉,您必須在郵件網域新的子網域上設定新 MX 記錄。

在本範例中,我們建議使用 routing-mx.<yourdomain.com>

注意

這與在網域本身配置郵件傳送 MX 記錄不同。新增這些記錄此時不會影響郵件流量,因為我們只會針對在 Sophos Email 中設定的遞送目的地使用這些記錄。

此項的設定方法會因不同的 DNS 提供者而異。通常您會將類型輸入為 MX、主機名稱輸入為 routing-mx,並依照以下螢幕擷取畫面中的 Google URL 輸入目的地和優先順序。您必須將 ASPMX.L.GOOGLE.COM 作爲最高優先級記錄。

「MX 記錄範例」

注意

您可以略過此步驟,並將遞送目的地設定為直接指向 ASPMX.L.GOOGLE.COM。但是,若聯絡 ASPMX.L.GOOGLE.COM 發生問題,郵件將不會遞送至 Google 的替代 MX 伺服器。

新增郵件信箱

現在,您可以新增郵件信箱至 Sophos Email Security。請參閱新增郵件信箱

新增郵件信箱後,請繼續設定 Google Workspace 環境。

限制傳送至 Sophos IP 位址

您可將與郵件主機的連線設定爲僅使用我們的傳送 IP。

限制傳送 IP 會為 Sophos Email 與郵件主機整合時增加額外的安全性。

則警告

在您繼續進行之前,我們強烈建議在非運行或測試環境中測試電子郵件流量及網域設定,然後再變更貴組織的電子郵件設定。

您需要使用的具體傳送 IP 取決於您 Sophos Central 帳戶的託管區域。建立 Sophos Central 帳戶時,您選擇要在哪個國家/地區儲存資料。

則警告

您還必須將 Sophos IP 添加到郵件伺服器的 IP 允許列表中。如果您不添加,您的使用者將無法收到他們的電子郵件。

區域 Sophos Gateway IP
美國(西部) 52.41.236.76

50.112.39.248

198.154.181.128/26

美國(東部) 18.220.12.142

18.216.7.10

103.246.251.128/26

德國 52.58.166.242

52.29.100.147

94.140.18.128/26

愛爾蘭 52.208.126.243

52.31.106.198

198.154.180.128/26

加拿大 85.113.88.128/26
澳洲 192.175.3.128/26
日本 198.160.151.128/26

則警告

若未使用您所屬區域的指定 IP,會導致郵件無法順利傳送。

在 Google Workspace 中建立內送閘道

由於您使用 Sophos Gateway 篩選郵件,且讓 MX 記錄直接指向我們,因此您需要將向 Google Workspace 的傳送限制為僅使用 Sophos Delivery IP。

注意

以下說明摘自 Google 的設定內送郵件閘道說明頁面。建議您在變更電子郵件組態之前,先查看 Google 的說明了解是否有更新。

若要設定此項設定,請執行以下操作:

  1. 登入您的 Google 管理主控台。
  2. 瀏覽至應用程式 > Google Workspace > Gmail > 進階設定
  3. 組織部分中,選取頂級組織。
  4. 捲動到「垃圾郵件」部分中的內送閘道
  5. 點選配置
  6. 輸入內送閘道的說明,例如 "Sophos Email Inbound Gateway"。
  7. 閘道 IP 下,按一下新增並輸入與您所在區域對應的 Sophos Gateway IP。每次輸入後必須儲存。
  8. 可選:您也可以新增 Google 伺服器的 IP 位址。有報告指出,Google 有時會封鎖自己的 IP 位址。如需查找 Google 當前的 IP 位址清單,請參閱獲取 Google IP 位址範圍
  9. 開啟:
    • 自動偵測外部 IP(建議)。
    • 拒絕所有非 frp 郵件、閘道 IP
    • 要求來自上列電子郵件閘道的 TLS 連線
  10. 按一下新增設定儲存
  11. 再次按一下頁面底部的儲存

如果您是從 Google 購買網域,則必須設定自訂記錄,因為您無法編輯 Google 提供的預設 DNS 記錄。請參閱使用第三方 DNS 主機設定 Google Workspace

如果您在可選步驟中新增了 Google IP 位址,Google 可能仍會封鎖其自己的 IP 位址。如果發生這種情況,您將看到以下訊息:

Google tried to deliver your message, but it was rejected by the relay xxxx.yyyy.google.com. We recommend contacting the other email provider at postmaster@xxxx.yyyy.google.com for further information about the cause of this error. The error that the other server returned was: xxx.xxx.xxx.xxx IP not in whitelist for RCPT domain, closing connection.

Google 建議的解決方案是關閉拒絕所有不是來自閘道 IP 的郵件。我們建議您暫時執行此操作,直到問題解決爲止。當此設定關閉時,如果電子郵件寄件者不使用 MX 查詢,則可以將電子郵件直接路由至您的電子郵件閘道。

變更您的 MX 記錄以使其指向 Sophos Gateway

變更您的域的 MX 記錄以使其指向 Sophos Gateway 對成功部署至關重要,並可確保所有電子郵件都得到篩選以及傳送。

若您無法自行進行變更,必須聯絡 IT 部門、主機代管服務提供者、ISP 或網域名稱服務提供者,並安排修改您網域的 MX 記錄。

建立 Sophos Central 帳戶時,您已選取想要儲存資料的區域。您的 MX 記錄依當時選擇的區域而定。

變更您的 MX 記錄,納入與您選擇的資料儲存區域相關的記錄名稱。

區域 MX 記錄
美國(西部) 10, mx-01-us-west-2.prod.hydra.sophos.com

20, mx-02-us-west-2.prod.hydra.sophos.com

美國(東部) 10, mx-01-us-east-2.prod.hydra.sophos.com

20, mx-02-us-east-2.prod.hydra.sophos.com

德國 10, mx-01-eu-central-1.prod.hydra.sophos.com

20, mx-02-eu-central-1.prod.hydra.sophos.com

愛爾蘭 10, mx-01-eu-west-1.prod.hydra.sophos.com

20, mx-02-eu-west-1.prod.hydra.sophos.com

加拿大 10, mx-01.eml100yul.ctr.sophos.com

20, mx-02.eml100yul.ctr.sophos.com

日本 10, mx-01.eml100hnd.ctr.sophos.com

20, mx-02.eml100hnd.ctr.sophos.com

澳洲 10, mx-01.eml100syd.ctr.sophos.com

20, mx-02.eml100syd.ctr.sophos.com

注意事項

操作時注意所有選項,確保拼法及數字均正確。

使用提供範圍以外的 MX 記錄名稱,將導致郵件無法正確遞送。

變更 MX 記錄等 DNS 項目時,我們建議在更新項目之前縮短 TTL(至 600 ms 或更少)。這樣一來,可以快速散佈變更,若在測試期間出現任何問題,也可提供快速的恢復變更方法。

建立內部訊息的 Google Workspace 規則

預設情況下,所有郵件都將使用傳入 MX 記錄中設定的目的地傳送到 Sophos Gateway。您必須在 Google Workspace 中建立路由規則,才能將內部訊息改為導向至 Google 伺服器。

注意

以下說明摘自 Google 的為進階 Gmail 遞送新增郵件路由說明頁面。建議您在變更電子郵件組態之前,先查看 Google 說明了解是否有更新。

要建立規則,請執行以下操作:

  1. 使用您的管理員帳戶登入 Google Admin。
  2. 移至應用程式 Google Workspace > Gmail > 主機
  3. 按一下新增路由
  4. 輸入有助於您記住路由的路由名稱,例如 Internal Messages
  5. 選取多個主機
  6. 按以下方式輸入主要主機詳細資料:

    選項
    主機名稱 aspmx.l.google.com
    連接埠 25
    載入 100%
  7. 按一下新增主要

  8. 按以下方式輸入次要主機詳細資料:

    選項
    主機名稱 alt1.aspmx.l.google.com
    連接埠 25
    載入 100%
  9. 按一下新增次要

  10. 選取要求通過安全傳輸 (TLS) 連接傳輸郵件(推薦)
  11. 選取要求 CA 簽名憑證(推薦)
  12. 按一下儲存

    變更最多需要 24 小時生效。您可以在 Google Workspace 管理稽核記錄檔中追蹤變更。

測試並確認電子郵件流量

更新 MX 記錄後,請傳送測試訊息至您受到 Sophos Gateway 保護的任何郵件信箱。從電子郵件網域以外的地址傳送測試訊息。

若要確認訊息是經由 Sophos Gateway 遞送,您可以查閱訊息記錄報告。

若要存取報告,請依照以下動作執行:

  1. 在 Sophos Central 中,按一下 日誌與報告
  2. 按一下 訊息紀錄

    如果訊息是經由系統遞送,您會在此報告中看見項目。

如果郵件沒有遞送,您的測試收件匣將不會收到電子郵件。請執行以下步驟:

  1. 根據您所在地區,驗證您的 MX 記錄正確。
  2. 驗證您已在閘道、防火牆或連接器中正確設定 Sophos Delivery IP。
  3. 驗證您傳送的目標信箱存在於 Sophos Email Security當中。

若您採取前述所有步驟後,您的網域仍未遞送郵件,請聯絡 Sophos Support。

回到頁首