Vollständiges Tutorial zur Einrichtung von Google Workspace und zur E-Mail-Verwaltung

Erste Schritte: Konto erstellen und Domain hinzufügen

Um Google Workspace einzurichten, gehen Sie zunächst zu admin.google.com Erstellen Sie nun ein Organisationskonto.

Geben Sie Ihre Organisationsinformationen, den primären Domainnamen und die Inhaberinformationen ein. Wählen Sie den passenden Tarif entsprechend Ihren E-Mail-, Archivierungs- und Vault-Anforderungen (z. B. Unternehmensgründer, Standard, Plus, Unternehmen).

Domain hinzufügen und verifizieren

Von der Administratorkonsole zum Abschnitt Domains → Domains verwalten Gehen Sie und wählen Sie die Option aus. Füge eine Domäne hinzu Wählen.

Google bietet verschiedene Möglichkeiten zur Bestätigung der Inhaberschaft: einen TXT-Eintrag im DNS, eine HTML-Datei oder ein Meta-Tag. Wenn Ihr DNS-Server über unser Kundenportal verwaltet wird, melden Sie sich in Ihrem DNS-Konto an und fügen Sie einen TXT-Eintrag mit dem von Google bereitgestellten Wert hinzu.

dig TXT yourdomain.com +short
nslookup -type=TXT yourdomain.com

Nachdem der Datensatz veröffentlicht wurde (in der Regel innerhalb weniger Minuten bis 24 Stunden, abhängig von der TTL), klicken Sie in der Admin-Konsole auf Verifizieren Klicken.

Einrichten von MX-, SPF-, DKIM- und DMARC-Einträgen

Um E-Mails sicher zu empfangen und zu versenden, benötigen Sie Datensätze. MX, Lichtschutzfaktor, DKIM Und DMARC Satz.

MX-Einträge für Google Workspace

Fügen Sie in Ihrem DNS die folgenden MX-Einträge hinzu (geben Sie die Prioritäten unverändert ein):

• ASPMX.L.GOOGLE.COM. (Priorität 1)
• ALT1.ASPMX.L.GOOGLE.COM. (Priorität 5)
• ALT2.ASPMX.L.GOOGLE.COM. (Priorität 5)
• ALT3.ASPMX.L.GOOGLE.COM. (Priorität 10)
• ALT4.ASPMX.L.GOOGLE.COM. (Priorität 10)

dig MX yourdomain.com +short

SPF-Datensatz (TXT)

Richten Sie einen TXT-Eintrag ein, um Absender-Spoofing zu verhindern. Einfaches Beispiel:

v=spf1 include:_spf.google.com ~all

Im DNS: Typ: TXT, Name: @, Wert: “v=spf1 include:_spf.google.com ~all”

Wenn Sie interne Server oder einen anderen Weiterleitungsdienst verwenden, fügen Sie diese zu SPF hinzu, zum Beispiel:

v=spf1 include:_spf.google.com ip4:203.0.113.5 ~all

DKIM — E-Mail-Signatur

In der Administratorkonsole: Apps → Google Workspace → Gmail → E-Mail authentifizieren → Neuen Datensatz erstellen.

Eins Wähler Wählen Sie beispielsweise „Google“ aus. Google erstellt einen TXT-Eintrag mit dem Namen google._domainkey.yourdomain.com Es liefert Ihnen den Wert p=…. Fügen Sie den Eintrag im DNS hinzu und aktivieren Sie anschließend DKIM in der Administratorkonsole.

dig TXT google._domainkey.yourdomain.com +short

Hinweis: Aus dem Schlüssel 2048-Bit Den Schlüssel regelmäßig (z. B. alle 6-12 Monate) betätigen und drehen.

DMARC – Richtlinie zur Betrugsprävention und -meldung

Füge einen DMARC-Eintrag hinzu:

Typ: TXT, Name: _dmarc, Beispielwert (Anfangsberichtmodus):

“"v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100;"”

Nach Durchsicht der Berichte können Sie p = Quarantäne Oder p = ablehnen Leg es hin.

Benutzer, Gruppen, Aliase und freigegebene Postfächer hinzufügen

Von der Administratorkonsole → Benutzer Dient zur Erstellung neuer Konten.

Um eine gemeinsame E-Mail zu erhalten, können Sie Folgendes tun: Gruppen Nach Typ Gemeinsamer Posteingang Oder von Delegiertes Postfach Verwenden.

Für jeden Benutzer kann ein Alias konfiguriert werden; zum Beispiel: Unterstützung@ einem Hauptbenutzer hinzugefügt werden. Für Team-E-Mails ist es besser, eine Gruppe mit den erforderlichen Berechtigungen zu erstellen (zum Beispiel Verkäufe@ (als Gruppe).

SMTP-Relay-Einstellungen und Senden von Ihren Servern

Für Anwendungen, Geräte oder Anwendungsserver, die E-Mails versenden müssen, gibt es zwei Hauptmethoden:

• Verwendung von smtp-relay.gmail.com (Erfordert eine autorisierte IP-Adresse oder Authentifizierung)
• Verwendung des regulären Gmail SMTP Mit einem App-Konto und Passwort oder OAuth2

Beispielhafte Postfix-Konfiguration für den Versand über smtp-relay.gmail.com:

relayhost = [smtp-relay.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

In /etc/postfix/sasl_passwd:

[smtp-relay.gmail.com]:587    username:password

postmap /etc/postfix/sasl_passwd
systemctl restart postfix

Zum Testen von TLS und Konnektivität:

openssl s_client -starttls smtp -crlf -connect smtp-relay.gmail.com:587

Oder mit Swaks:

swaks --to [email protected] --server smtp-relay.gmail.com --port 587 --auth LOGIN --auth-user username --auth-password password --tls

Sicherheitshinweis: Es ist besser als OAuth2/XOAuth2 Zur Gewährleistung von Sicherheit und Skalierbarkeit; Google SMTP kann auch mit App-Passwörtern verwendet werden, wenn die Zwei-Faktor-Authentifizierung aktiviert ist.

E-Mails zu Google Workspace migrieren

Methoden:

• Datenmigrationsdienst in der Administratorkonsole (für IMAP/Exchange)
• Google Workspace Migration für Microsoft Exchange (GWMME) oder GWMMO
• IMAP-Tools wie imapsync Für individuelle Transfers

Beispiel für die Verwendung von imapsync:

imapsync --host1 oldmail.example.com --user1 [email protected] --password1 'oldpass' \
--host2 imap.gmail.com --user2 [email protected] --password2 'newpass' \
--ssl2

Bei großen Migrationen ist es besser, Server mit hoher Bandbreite und in der Nähe der Nutzer zu verwenden, um die Übertragungsgeschwindigkeit zu erhöhen.

Clienteinstellungen (IMAP/POP/Exchange)

Konventionelle Einstellungen:

• IMAP (empfohlen): imap.gmail.com, SSL/TLS-Port 993
• SMTP: smtp.gmail.com, STARTTLS Port 587 oder SSL Port 465
• POP3 (falls erforderlich): pop.gmail.com Port 995

Wenn SSO (SAML) aktiviert ist, benötigen einige Clients möglicherweise ein App-Passwort oder OAuth.

Sicherheit und Management (Bewährte Verfahren)

Einige praktische Ratschläge:

• Aktivierung der 2-Schritt-Verifizierung Und die Einführung der Pflicht zur Verwendung von Sicherheitsschlüsseln für Administratoren.
• Aktivieren Kontextsensitiver Zugriff Und Geräteverwaltung (MDM) Für Mobiltelefone.
• Einschränkung veralteter Protokolle (z. B. Deaktivierung von POP/IMAP, wenn diese nicht benötigt werden).
• Durchführungsregeln DLP und die Aktivierung von Google Vault für die rechtliche Archivierung.
• API-Zugriffskontrolle und Verwaltung der OAuth-Client-Whitelist.
• Richten Sie Sicherheitswarnungen ein und überwachen Sie verdächtige Anmeldeversuche.

Probleme verfolgen, Protokolle verwalten und Fehlerbehebung durchführen

Werkzeuge und Methoden:

• Nachrichtenprotokollsuche In der Admin-Konsole können Sie E-Mails verfolgen (Zustellung, Spam, Ablehnung).
• Überprüfen Sie die DNS-Einträge mit graben Oder nslookup.
• Verwendung von swaks Oder openssl Zum Testen der SMTP-Konnektivität.
• Prüfen Sie die Unzustellbarkeitsmeldungen und SMTP-Codes (z. B. 550, 421, 451).
• Überprüfen Sie die DMARC-Aggregatberichte auf Ablehnungs- und Spoofing-Muster.

openssl s_client -connect smtp.gmail.com:587 -starttls smtp -crlf

Betriebs- und Skalierbarkeitslösungen

Betriebstipps:

• Für den Massenversand (Newsletter, Transaktionen) verwenden Sie spezialisierte E-Mail-Versanddienste (wie SendGrid, Mailgun, Amazon SES); Google Workspace eignet sich für alltägliche Unternehmens-E-Mails, hat aber tägliche Beschränkungen.
• Wenn Sie einen SMTP-Relay mit dedizierter IP-Adresse oder Warm-up benötigen, können Sie Cloud-Server mit dedizierter IP-Adresse und BGP-Infrastruktur sowie Anti-DDoS-Schutz nutzen, um die Zustellbarkeit zu verbessern.
• Für verteilte Teams können Anycast-DNS und CDN die Geschwindigkeit und Verfügbarkeit von Webmail und zugehörigen APIs erhöhen.

Datensicherung und -wartung

Google Vault wird für die rechtskonforme Speicherung und Archivierung empfohlen. Für eigenständige Backups können Sie auch IMAP-Backup-Tools wie beispielsweise verwenden. mbsync Oder offlineimap Oder nutzen Sie Backup-Dienste von Drittanbietern.

~/.mbsyncrc:
IMAPAccount remote
Host imap.gmail.com
User [email protected]
PassCmd "gpg2 --quiet --for-your-eyes-only --no-tty -d ~/.passwords/imap.gpg"
SSLType IMAPS
...
mbsync -a

Tipps für DevOps, Trader und Gamer

DevOps: Verwenden Sie OAuth2 für Dienste anstelle einfacher Passwörter; überwachen Sie Kontingente und API-Berechtigungen; integrieren Sie es in Enterprise IAM und SIEM.

Händler: Auswahl eines Serverstandorts in der Nähe des Brokers für E-Mail-Benachrichtigungen und Alarmsysteme mit der geringsten Latenz.

Gamer: Verwenden Sie starkes DKIM für kontobezogene E-Mails und Benachrichtigungen, um zu verhindern, dass Nachrichten im Spam-Ordner landen; die Verwendung eines nahegelegenen Standorts ist wichtig, um die Latenz bei der Multi-Faktor-Authentifizierung zu reduzieren.

Praxisbeispiele

Szenario 1: Schneller Start für ein Startup — Registrieren Sie eine Domain, erstellen Sie einen Google Workspace Business Starter, fügen Sie 10 Benutzer hinzu, richten Sie MX/SPF/DKIM ein, aktivieren Sie die 2-Schritt-Verifizierung und den grundlegenden Google Vault.

Szenario 2: Migration von cPanel — Verwenden Sie imapsync oder den Datenmigrationsdienst, ändern Sie die MX-Einträge zu wichtigen Zeitpunkten nach der Synchronisierung und testen Sie den Empfang/Senden, bevor Sie den alten Dienst deaktivieren.

Szenario 3: Senden von Dienstprotokollen von einem Cloud-Server — Postfix auf einem Cloud-Server mit Relayhost zu smtp-relay.gmail.com oder einem Transaktionsdienst einrichten, TLS und Authentifizierung konfigurieren, Server-IP in der Admin-Konsole zur Whitelist hinzufügen.

Schlussfolgerung und Lösungsvorschläge

Mit den korrekten DNS-Einstellungen (MX/SPF/DKIM/DMARCMit starker Authentifizierung, optimierter Migration und der Nutzung der Google Workspace-Verwaltungsfunktionen können Sie eine sichere, zuverlässige und skalierbare E-Mail-Plattform erstellen.

Für Organisationen, die geringe Latenz und globale Reichweite benötigen, kann die Nutzung von Cloud- und VPS-Servern mit mehreren Standorten, CDN, BGP, dedizierter IP und Anti-DDoS-Schutz die E-Mail-Performance und Zustellbarkeit verbessern.

Häufig gestellte Fragen