Saltar al contingut principal

Requisitos previos – Google Worskpace

Requisitos previos para la activación de protección email – Google Worskpace

Google Worskpace tiene una particularidad con respecto al enrutado de los emails, todo el tráfico interno de emails lo envía al exterior y entra de nuevo a Google como si fuesen emails externos. Esta particularidad no presente en otros servicios de correo se ha de reconfigurar en Workspace antes de realizar la activación de la protección de email.

Para ello, se accede al panel de configuración de Google Workspace (admin center), una vez dentro clicamos arriba a la izquierda en “Apps -> Google Workspace -> Gmail”, se verá una página como la siguiente:

Google prerequisites ES1

De las opciones mostradas, entramos en “Host”. Clicamos en “Add Route” y nos abrirá una nueva ventana donde configuraremos los MX de Google:

  1. Name: Ponemos “Internal Workspace routing”
  2. Seleccionamos “Multiple Host” en el desplegable.
  3. Se habilita un campo para añadir el primer MX de Google: “aspmx.l.google.com”, puerto 25 y 100% de carga.
  4. Habilitamos el segundo campo para añadir un MX secundario de Google: “alt1.asmpx.l.google.com”, puerto 25 y 100% carga.

Se podrían añadir más secundarios de Google (alt2.asmpx.l.google.com, alt3.asmpx.l.google.com), si lo hacemos la carga del 100% se debería repartir entre los secundarios, es decir por cada secundario que se añada dividir 100 entre el nº de MX secundarios añadidos:

Ej: Si ponemos 2 secundarios, pondremos la carga al 50% para cada uno de ellos, si ponemos 3 secundarios, pondremos la carga al 34% al primero y al 33% para los 2 restantes.

Dejamos por default la configuración TLS indicada, y debería quedarnos algo como esto:

Google prerequisites ES2

Guardamos y volvemos a la ventana previa, (“Apps -> Google Workspace -> Gmail”). De vuelta en esta ventana, bajamos hasta el final y accedemos a “Routing”:

Google prerequisites ES3

Una vez dentro, clicamos en “Add another rule” (si no hay ninguna ruta ya existente, dirá "configure" en lugar de " Add another rule "). Se abre una nueva ventana y procedemos a configurar:

  1. Name: Indicamos “internal routing”
  2. Email messages to affect: Seleccionamos “internal sending”
  3. Route: Seleccionamos el cuadrito que pone “change the route” y en el desplegable que sale seleccionamos el host que hemos creado en la etapa anterior (internal Workspace routing).
  4. Bajamos hasta el final y desplegamos más opciones “Show options”.
  5. Seguimos bajando hasta Account types to affect: seleccionamos Users y Groups
  6. Bajamos hasta Envelope filter: Seleccionamos “Only affect specific envelope senders”, ahora elegimos del desplegable “Pattern Match” y en el campo que aparece introducimos nuestro dominio de correo (ej: pepito.com).

Debería quedar como la imagen siguiente:

Google prerequisites ES4

Le damos a guardar, y los cambios se aplican en pocos minutos.

Ahora procederemos a permitir las IPs del datacenter de la protección de correo. Volvemos a la ventana anterior (“Apps -> Google Workspace -> Gmail”) y entramos en “Spam, Phishing and Malware”, identificamos el icono de un lápiz cerca de “Email allowlist” y lo clicamos.

En el recuadro que aparece introducimos el listado de IPs separadas por coma:

RegiónIPs
Europa194.104.108.0/24,194.104.109.0/24,194.104.110.0/24,194.104.111.0/24,147.28.34.0/24,147.28.35.0/24,51.163.158.0/24,51.163.159.0/24,62.140.7.0/24,62.140.10.0/24
América170.10.132.0/24,170.10.133.0/24,170.10.128.0/24,170.10.129.0/24,170.10.130.0/24,170.10.131.0/24,207.211.31.0/25,207.211.30.0/24,205.139.110.0/24,205.139.111.0/24,216.205.24.0/24,63.128.21.0/24
  • Guardamos. Debería quedar como la siguiente imagen:

Google prerequisites ES5

Ahora bajamos hasta la opción “Inbound Gateway” y le damos al botón de configurar (puede ser que aparezca como que esta deshabilitado, si es así le damos a habilitar).

  1. En el nombre indicamos “CG inbound Gateway”
  2. Clicamos en el botón “Add” para añadir las siguientes IPs una a una:
RegiónIPs
Europa194.104.108.0/24
194.104.109.0/24
194.104.110.0/24
194.104.111.0/24
147.28.34.0/24
147.28.35.0/24
51.163.158.0/24
51.163.159.0/24
62.140.7.0/24
62.140.10.0/24
América170.10.132.0/24
170.10.133.0/24
170.10.128.0/24
170.10.129.0/24
170.10.130.0/24
170.10.131.0/24
207.211.31.0/25
207.211.30.0/24
205.139.110.0/24
205.139.111.0/24
216.205.24.0/24
63.128.21.0/24
  1. Nos aseguramos de que este activa la opción “Require TLS for Connections From the Email Gateways Listed Above”, y desactivamos las otras 2 opciones que salen.

Debería de quedar como la siguiente imagen:

Google prerequisites ES6

Le damos a guardar y hemos finalizado los requisitos previos para Google Workspace.

A continuación pueden continuar con las instrucciones para activar la protección email de Cyber Guardian.