跳至內容
部分或全部頁面已經過機器翻譯。

頁面永久連結

參考此頁面時,請務必使用以下永久連結。在以後的說明版本中,它將保持不變。

https://docs.sophos.com/central/customer/help/zh-tw/index.html?contextId=email-configuration-Google

設定 Google Workspace

本主題說明如何設定 Google Workspace(之前稱為 G Suite),以透過 Sophos Gateway 路由傳送電子郵件。

新增您的網域並驗證擁有權

注意

設定 Sophos Gateway 時必須提供下列資訊,以處理並傳送您網域的電子郵件:

  • 您的電子郵件網域名稱。
  • Google Apps 的 MX 紀錄。請參閱 Google Workspace MX 記錄值
  • 用來接聽 SMTP 流量的連接埠編號位於郵件傳送目的地主機上。

若要將網域新增到 Sophos Central,請依照以下步驟操作:

  1. 登入 Sophos Central。
  2. 移至我的產品 > 一般設定 > 網域設定/狀態
  3. 按一下 新增網域
  4. 輸入您的電子郵件網域詳情。

  5. 設定您的傳送目的地。

    有關傳送目的地和埠,請輸入 MX 以及埠 25 上的值 routing-mx.<yourdomain.com>。您會在驗證網域擁有權後設定路由 MX 值。

  6. 然後,按一下 驗證網域擁有權

  7. 複製 驗證網域擁有權 對話中顯示的 TXT 值。

    這是您電子郵件網域的專屬值。

  8. 在網域名稱的根層級建立 TXT DNS 紀錄(在步驟 5 中輸入),並貼上前一個步驟中複製的 TXT 值。您可以使用與顯示值相同的 TXT 名稱,或使用 @

  9. 新的 TXT DNS 記錄項目儲存後,按一下 驗證

傳播使用正確的 TXT 值更新的 DNS 之後,您將收到一條訊息,表示網域驗證已成功。

如果 DNS 更新尚未傳播,或輸入的值不正確,您會收到失敗訊息。請確認輸入的值正確無誤。

注意

網域驗證程序可能需要花費一些時間來完成。

設定 routing-mx 值以遞送至 Google Workspace

若要為 Sophos Gateway 和 Google Workspace 間的內送連接提供容錯移轉,您必須在郵件網域新的子網域上設定新 MX 記錄。

在本範例中,我們建議使用 routing-mx.<yourdomain.com>

注意

這與在網域本身配置郵件傳送 MX 記錄不同。新增這些記錄此時不會影響郵件流量,因為我們只會針對在 Sophos Email 中設定的遞送目的地使用這些記錄。

此項的設定方法會因不同的 DNS 提供者而異。通常,您會將類型輸入為 MX、將主機名輸入為 routing-mx,以及根據 Google 說明中的定義輸入目的地和優先順序。

  • 如果您在 2023 年之前註冊了 Google Workspace,則必須將 ASPMX.L.GOOGLE.COM 作為優先順序最高的記錄。

    「2023 年 Google Workspace 註冊前的 MX 記錄範例」。

  • 如果您在 2023 年或之後註冊了 Google Workspace,則只需輸入指向 SMTP.GOOGLE.COM 的項目。

注意

您可以略過此步驟,並將遞送目的地設定為直接指向 ASPMX.L.GOOGLE.COM。但是,若聯絡 ASPMX.L.GOOGLE.COM 發生問題,郵件將不會遞送至 Google 的替代 MX 伺服器。

新增郵件信箱

現在,您可以新增郵件信箱至 Sophos Email Security。請參閱新增郵件信箱

新增郵件信箱後,請繼續設定 Google Workspace 環境。

限制傳送至 Sophos IP 位址

您可將與郵件主機的連線設定爲僅使用我們的傳送 IP。

限制傳遞 IP 位址會為 Sophos Email 與郵件主機整合時增加額外的安全性。

警告

在您繼續進行之前,我們強烈建議在非運行或測試環境中測試電子郵件流量及網域設定,然後再變更貴組織的電子郵件設定。

您需要使用的具體傳遞 IP 位址取決於您 Sophos Central 帳戶的託管區域。建立 Sophos Central 帳戶時,您選擇要在哪個國家/地區儲存資料。

警告

您還必須將 Sophos IP 位址新增到郵件伺服器的 IP 允許清單中。如果您不添加,您的使用者將無法收到他們的電子郵件。

要查找要使用的 IP 位址,請參閱 Sophos Email 閘道 IP 位址

警告

若未使用您所屬區域的指定 IP 位址,會導致郵件無法順利傳送。

來自 Google 電子郵件伺服器的 DMARC 故障

如果您在電子郵件原則中開啟了Time of Click URL 保護終端使用者訊息設定,您可能會看到針對內送郵件報告的 DMARC 故障。

這是因為 Google 並未持續處理來自其閘道 IP 清單中 IP 位址的電子郵件。

Google 的文件說明:「Gmail 不會對從閘道 IP 清單中的 IP 位址傳送的郵件進行 SPF 驗證。內送閘道應執行 DMARC 檢查。對於來自所列主機的內送郵件,將跳過 DMARC 驗證。」請參閱設定內送郵件閘道

我們的測試表明,這種情況並不總是會發生,當 Google 不應該進行 DMARC 檢查時,它會將一些電子郵件標記為 DMARC 故障。我們已向 Google 提出此問題。

在 Google Workspace 中建立內送閘道

由於您使用 Sophos Gateway 篩選郵件,且讓 MX 記錄直接指向我們,因此您需要將向 Google Workspace 的傳送限制為僅使用 Sophos Delivery IP。

注意

以下說明摘自 Google 的設定內送郵件閘道說明頁面。建議您在變更電子郵件組態之前,先查看 Google 的說明了解是否有更新。

若要設定此項設定,請執行以下操作:

  1. 登入您的 Google 管理主控台。
  2. 在管理控制檯中,轉到 菜單 > 應用程式 > Google Workspace > Gmail > 主機
  3. 在左側,選取頂層組織。這通常是您的域。
  4. 捲動至入埠閘道並按一下編輯
  5. 輸入入埠閘道的說明,例如 Sophos Email Inbound Gateway
  6. 閘道 IP 中,按一下新增

  7. 新增 IP 位址/範圍中,輸入與您所在地區對應的 Sophos 閘道 IP,然後按一下儲存

    (可選)您也可以新增 Google 伺服器的 IP 位址。有報告指出,Google 有時會封鎖自己的 IP 位址。如需查找 Google 當前的 IP 位址清單,請參閱獲取 Google IP 位址範圍

  8. 開啟:

    • 自動偵測外部 IP(建議)。
    • 拒絕所有非 frp 郵件、閘道 IP
    • 要求來自上列電子郵件閘道的 TLS 連線

  9. 按一下儲存

變更最多需要 24 小時生效。

如果您是從 Google 購買網域,則必須設定自訂記錄,因為您無法編輯 Google 提供的預設 DNS 記錄。請參閱使用第三方 DNS 主機設定 Google Workspace

如果您在可選步驟中新增了 Google IP 位址,Google 可能仍會封鎖其自己的 IP 位址。如果發生這種情況,您將看到以下訊息:

Google tried to deliver your message, but it was rejected by the relay xxxx.yyyy.google.com. We recommend contacting the other email provider at postmaster@xxxx.yyyy.google.com for further information about the cause of this error. The error that the other server returned was: xxx.xxx.xxx.xxx IP not in whitelist for RCPT domain, closing connection.

Google 建議的解決方案是關閉拒絕所有不是來自閘道 IP 的郵件。我們建議您暫時執行此操作,直到問題解決爲止。當此設定關閉時,如果電子郵件寄件者不使用 MX 查詢,則可以將電子郵件直接路由至您的電子郵件閘道。

變更您的 MX 記錄以使其指向 Sophos Gateway

變更您的域的 MX 記錄以使其指向 Sophos Gateway 對成功部署至關重要,並可確保所有電子郵件都得到篩選以及傳送。

若您無法自行進行變更,必須聯絡 IT 部門、主機代管服務提供者、ISP 或網域名稱服務提供者,並安排修改您網域的 MX 記錄。

建立 Sophos Central 帳戶時,您已選取想要儲存資料的區域。您的 MX 記錄依當時選擇的區域而定。

變更您的 MX 記錄,納入與您選擇的資料儲存區域相關的記錄名稱。

要查找要使用的 MX 記錄,請參閱 Sophos MX 記錄

注意事項

操作時注意所有選項,確保拼法及數字均正確。

使用提供範圍以外的 MX 記錄名稱,將導致郵件無法正確遞送。

變更 MX 記錄等 DNS 項目時,我們建議在更新項目之前縮短 TTL(至 600 ms 或更少)。這樣一來,可以快速散佈變更,若在測試期間出現任何問題,也可提供快速的恢復變更方法。

建立內部訊息的 Google Workspace 規則

預設情況下,所有郵件都將使用傳入 MX 記錄中設定的目的地傳送到 Sophos Gateway。您必須在 Google Workspace 中建立路由規則,才能將內部訊息改為導向至 Google 伺服器。

注意

以下說明摘自 Google 的為進階 Gmail 遞送新增郵件路由說明頁面。建議您在變更電子郵件組態之前,先查看 Google 說明了解是否有更新。

要建立規則,請執行以下操作:

  1. 登入您的 Google 管理主控台。
  2. 在管理控制檯中,轉到 菜單 > 應用程式 > Google Workspace > Gmail > 主機
  3. 按一下新增路由
  4. 輸入有助於您記住路由的路由名稱,例如 Internal Messages
  5. 選取多個主機

  6. 按以下方式輸入主要主機詳細資料:

    選項
    主機名稱 aspmx.l.google.com
    連接埠 25
    載入 100%

  7. 按以下方式輸入次要主機詳細資料:

    選項
    主機名稱 alt1.aspmx.l.google.com
    連接埠 25
    載入 100%

  8. 選擇 要求通過安全傳輸(TLS)連接傳輸郵件(推薦),然後選擇 要求CA簽名證書(推薦)

  9. 點擊SAVE
  10. 移至應用程式 Google Workspace > Gmail > 主機

  11. 滾動至 路由 設定,然後執行以下操作之一:

    • 如果尚未配置規則,請單擊 配置
    • 如果已配置規則,請單擊 添加另一個規則

  12. 輸入應用程式的名稱,例如 Internal Emails Route Rule

  13. 要影響的電子郵件中,選擇 內部-發送
  14. 在步驟2中, * 從下拉列表中選擇修改消息,然後選擇 *更改路線

  15. 單擊 顯示選項 並確保選擇了以下帳戶類型:

    • 使用者
    • 群組

  16. 在選項C 信封過濾器下,選擇 僅影響特定信封發件人* 從下拉列表中選擇模式匹配,然後在 *regexp 欄位中輸入域。例如 example.com

  17. 點擊儲存

    變更最多需要 24 小時生效。您可以在 Google Workspace 管理稽核記錄檔中追蹤變更。

測試並確認郵件流程

更新 MX 記錄後,請傳送測試訊息至您受到 Sophos Gateway 保護的任何郵件信箱。從電子郵件網域以外的地址傳送測試訊息。

若要確認訊息是經由 Sophos Gateway 遞送,您可以查閱訊息記錄報告。

若要存取報告,請依照以下動作執行:

  1. 登入 Sophos Central。

  2. 轉至 報告 > 訊息紀錄

    如果訊息是經由系統遞送,您會在此報告中看見項目。

如果郵件沒有遞送,您的測試收件匣將不會收到電子郵件。請執行以下步驟:

  1. 根據您所在地區,驗證您的 MX 記錄正確。
  2. 驗證您已在閘道、防火牆或連接器中正確設定 Sophos Delivery IP。
  3. 驗證您傳送的目標信箱存在於 Sophos Email Security當中。

若您採取前述所有步驟後,您的網域仍未遞送郵件,請聯絡 Sophos Support。