[HSC MailInspector] - G-Suite - Entrada de emails com MLI Cloud
Esse procedimento explica a configuração necessária o G-Suite permitir entrada de emails pelo MailInspector, como Gateway de Entrada de Emails.
Passo a Passo
São várias etapas para esse procedimento:
Adicionar um endereço IP à sua lista de permissões:
Na página inicial do Admin Console, acesse Apps > Google Workspace > Gmail > Spam, phishing e malware.
Observação: você pode acessar essa configuração em Apps > Google Workspace > Gmail > Configurações avançadas.À esquerda, selecione a organização de nível superior. Ela costuma ser seu domínio.
Na guia Spam, phishing e malware, role até a configuração Lista de e-mails permitidos ou digite lista de e-mails permitidos no campo de pesquisa.
Digite o endereço IP dos servidores de e-mail de envio que você quer adicionar à lista de permissões. No nosso caso a lista dos endereços segue abaixo:
187.108.197.102/32
187.108.197.103/32
187.45.183.226/32
186.227.197.39/32
Para adicionar mais de um endereço IP, digite um intervalo de IPs (usando a notação CIDR) ou separe os endereços IP com vírgulas.
Observação: Digite apenas endereços IP públicos. Nessa configuração, não é possível usar endereços IP particulares.Na parte inferior da página, clique em Salvar.
Obs: Pode levar até 24 horas para as alterações entrarem em vigor.
Digitar os endereços IP do gateway e configurar as opções:
Em IPs de gateway, clique em Adicionar e digite o endereço IP ou o intervalo de endereços.
Se suas mensagens passarem por vários gateways antes de chegar ao Gmail, inclua todos os endereços IP do gateway na lista "IPs de gateway".
No caso do MailInspector Cloud, os IP’s são:187.108.197.102/32
187.108.197.103/32
187.45.183.226/32
186.227.197.39/32
Observação: Digite endereços IP públicos porque os particulares não são aceitos.
Clique em Salvar.
Selecione a opção a seguir:
Deixe marcada a opção de Detectar automaticamente os IPs externos (recomandado).
Para rejeitar mensagens não enviadas pelo gateway de entrada, marque a caixa Rejeitar todos os e-mails que não sejam de IPs do gateway.
Para rejeitar conexões de endereços IP na lista "IPs de gateway" que não usarem o protocolo TLS, marque a caixa Exigir TLS para conexões dos gateways de e-mail listados acima.
Marque Detectar IP externo automaticamente.
Isso faz com que o Gmail verifique o cabeçalho da mensagem para localizar a primeira ocorrência de um endereço IP que não esteja listado nos IPs do gateway. Isso é conhecido como “IP externo”, que o Gmail considera o IP de envio e usa para verificações de SPF e avaliação de spam.
Concluir a configuração:
Clique em Adicionar configuração ou Salvar.
Na parte inferior, clique em Salvar.
Houve casos em que o Google impediu a entrega de seus próprios endereços IP.
Nesse caso, a única solução fornecida é desmarcar a caixa de seleção "Rejeitar todos os emails que não sejam de IPs de gateway".
Se você fizer isso, no entanto, seu servidor de e-mail não será bloqueado para aceitar apenas e-mails externos de IPs do MailInspector. Como resultado, é possível que os remetentes sejam roteados diretamente para o seu sistema de e-mail, em vez de seguir pesquisas MX normais para rotear através do Proofpoint. Essa abordagem só deverá ser usada se o Google estiver impedindo a entrega de seus próprios IPs.
Se você tiver problemas de entrega, verifique a devolução para confirmar se esse cenário é aplicável à sua organização.
O erro recebido é semelhante a este:
O Google tentou entregar sua mensagem, mas ela foi rejeitada pelo retransmissor <a href="http://aspmx.l.google.com" target="_blank">aspmx.l.google.com</a> [Google PI]. Recomendamos entrar em contato com o outro provedor de e-mail em <a href="mailto:postmaster@aspmx.l.google.com" target="_blank">postmaster@aspmx.l.google.com</a> para obter mais informações sobre a causa deste erro. O erro que o outro servidor retornou foi: 421 4.7.0 IP não está na whitelist do domínio RCPT, fechando conexão.
Rotas Internas dos emails
Vá em Apps > google WorkSpace > Gmail > Hosts
Selecione Adicionar Rota (Add Route)
Para o campo Nome, indique:
Internal G-Suite
Em Single Host: aspmx.l.google.com
Na porta (campo a seguir) coloque 25Tenha certeza de que a opção Perform MX lookup on host NÃO ESTEJA SELECIONADO e selecione as seguintes opções (deixe marcado):
Require mail to be transmitted via a secure connection,
Require CA signed certificate (Recomemended)
Validate certificate hostname (Recommended)
Clique em Salvar
Segue tela exemplo:
Clique em configuração para Gmail (Settings for Gmail) na parte superior esquerdo, então clique em Rotas (Routing)
Entre com a descrição, por exemplo: Internal Routing
Em mensagens afetadas (Message to affect), clique na caixa Envio Interno (Internal Sending)
Role para baixo e em Rotas (Route) marque a opção Mudar Rota (Change Route) e mude a opção de Rota Normal (Normal Route) para Interno Google Workspace (Internal Google Worksparce)
Role para baixo e eleciona a opção Mostar Opções (Show Options). A tela irá se expandir.
Na opção B. Tipo de contas para afetar (Account types to affect) marque a opção Usuários (Users) e Grupos (Groups)
Na opção C. Filtro de Envelope (Envelope Filter) marque a opção Somente afetar remetentes de envelope específicos (Only affect specific envelope senders) e então mude a seleção de Endereço de Email Único (Single email address) para Correspondência de padrão (Pattern match)
Em Regexp, coloque o seu domínio, por exemplo: empresa.com.br
Clique em Salvar
Segue tela de exemplo:
Todo o processo pode levar até 24 horas para que as mudanças entrem em vigor. Você pode rastreá-las no Registro de auditoria do Admin Console.