Полное руководство по настройке Google Workspace и управлению электронной почтой.

شروع: ایجاد حساب و افزودن دامنه

برای راه‌اندازی Google Workspace ابتدا به admin.google.com بروید و یک اکانت سازمانی بسازید.

اطلاعات سازمان، نام دامنه اصلی و اطلاعات مالک را وارد کنید. براساس نیازهای ایمیل، آرشیو و Vault، پلن مناسب را انتخاب کنید (مثل Business Starter, Standard, Plus, Предприятие).

افزودن و تأیید دامنه

از کنسول ادمین به بخش Domains → Manage domains بروید و گزینه Add a domain Выбирать.

Google چند روش برای تأیید مالکیت پیشنهاد می‌دهد: رکورد TXT در DNS، فایل HTML، یا متا تگ. اگر DNS شما روی پنل شرکت ماست، وارد پنل DNS شوید و یک رکورد TXT با مقدار ارائه‌شده توسط گوگل اضافه کنید.

dig TXT yourdomain.com +short
nslookup -type=TXT yourdomain.com

بعد از انتشار رکورد (معمولاً از چند دقیقه تا ۲۴ ساعت بسته به TTL)، در کنسول Admin روی Verify Щелкните.

تنظیم رکوردهای MX، SPF، DKIM و DMARC

برای دریافت و ارسال امن ایمیل باید رکوردهای MX, SPF, ДКИМ и DMARC را تنظیم کنید.

رکوردهای MX برای Google Workspace

در DNS خود، رکوردهای MX زیر را اضافه کنید (اولویت‌ها را همان‌طور وارد کنید):

• ASPMX.L.GOOGLE.COM. (priority 1)
• ALT1.ASPMX.L.GOOGLE.COM. (priority 5)
• ALT2.ASPMX.L.GOOGLE.COM. (priority 5)
• ALT3.ASPMX.L.GOOGLE.COM. (priority 10)
• ALT4.ASPMX.L.GOOGLE.COM. (priority 10)

dig MX yourdomain.com +short

رکورد SPF (TXT)

یک رکورد TXT برای جلوگیری از جعل فرستنده تنظیم کنید. مثال پایه:

v=spf1 include:_spf.google.com ~all

در DNS: Type: TXT، Name: @، Value: “v=spf1 include:_spf.google.com ~all”

در صورت استفاده از سرورهای داخلی یا سرویس ارسال دیگر، آن‌ها را به SPF اضافه کنید، مثلاً:

v=spf1 include:_spf.google.com ip4:203.0.113.5 ~all

DKIM — امضای ایمیل

در کنسول ادمین: Apps → Google Workspace → Gmail → Authenticate email → Generate new record.

Один selector انتخاب کنید (مثلاً google). Google یک رکورد TXT با نام google._domainkey.yourdomain.com و مقدار p=… به شما می‌دهد. رکورد را در DNS اضافه کنید و سپس در کنسول Admin DKIM را فعال کنید.

dig TXT google._domainkey.yourdomain.com +short

نکته: از کلید 2048-bit استفاده کنید و دوره‌ای (مثلاً هر 6-12 ماه) کلید را بچرخانید.

DMARC — سیاست گزارش و جلوگیری از تقلب

یک رکورد DMARC اضافه کنید:

Type: TXT، Name: _dmarc، Value نمونه (حالت گزارش اولیه):

“v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100;”

پس از بررسی گزارش‌ها می‌توانید p=quarantine Или p=reject Поставь его.

افزودن کاربران، گروه‌ها، آلیاس‌ها و صندوق‌های مشترک

از کنسول ادمین → Users برای ایجاد حساب‌های جدید استفاده کنید.

برای دریافت ایمیل مشترک می‌توانید از Groups با نوع Collaborative Inbox یا از Delegated Mailbox Использовать.

آلیاس (Alias) برای هر کاربر قابل تنظیم است؛ مثلاً support@ به یک کاربر اصلی افزوده شود. برای ایمیل تیمی بهتر است گروه با مجوزهای لازم ایجاد شود (برای مثال sales@ به‌صورت Group).

تنظیمات SMTP Relay و ارسال از سرورهای شما

برای برنامه‌ها، دستگاه‌ها یا سرورهای اپلیکیشنی که باید ایمیل ارسال کنند، دو راه اصلی وجود دارد:

• استفاده از smtp-relay.gmail.com (نیاز به آدرس IP مجاز یا احراز هویت)
• استفاده از SMTP معمولی Gmail با حساب کاربری و رمز اپلیکیشن یا OAuth2

نمونه پیکربندی Postfix برای ارسال از طریق smtp-relay.gmail.com:

relayhost = [smtp-relay.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

В /etc/postfix/sasl_passwd:

[smtp-relay.gmail.com]:587    username:password

postmap /etc/postfix/sasl_passwd
systemctl restart postfix

برای تست TLS و اتصال:

openssl s_client -starttls smtp -crlf -connect smtp-relay.gmail.com:587

یا با swaks:

swaks --to [email protected] --server smtp-relay.gmail.com --port 587 --auth LOGIN --auth-user username --auth-password password --tls

نکته امنیتی: بهتر است از OAuth2/XOAuth2 برای امنیت و مقیاس‌پذیری استفاده کنید؛ Google SMTP با رمزهای اپلیکیشن در صورت فعال بودن 2-step نیز قابل‌استفاده است.

مهاجرت ایمیل به Google Workspace

روش‌ها:

• Data Migration Service در کنسول Admin (برای IMAP/Exchange)
• Google Workspace Migration for Microsoft Exchange (GWMME) یا GWMMO
• ابزارهای IMAP مانند imapsync برای انتقال‌های سفارشی

نمونه استفاده از imapsync:

imapsync --host1 oldmail.example.com --user1 [email protected] --password1 'oldpass' \
--host2 imap.gmail.com --user2 [email protected] --password2 'newpass' \
--ssl2

در مهاجرت‌های حجیم، بهتر است از سرورهایی با باند گسترده و لوکیشن نزدیک کاربران استفاده کنید تا سرعت انتقال افزایش یابد.

تنظیمات کلاینت‌ها (IMAP/POP/Exchange)

تنظیمات مرسوم:

• IMAP (پیشنهادی): imap.gmail.com, SSL/TLS port 993
• SMTP: smtp.gmail.com, STARTTLS port 587 یا SSL port 465
• POP3 (در صورت نیاز): pop.gmail.com port 995

اگر SSO (SAML) فعال است، برخی کلاینت‌ها ممکن است نیاز به رمز اپ یا OAuth داشته باشند.

امنیت و مدیریت (Best Practices)

چند توصیه عملی:

• فعال‌سازی 2-Step Verification و اجباری کردن Security Keys برای مدیران.
• Активировать Context-Aware Access и Device Management (MDM) برای موبایل‌ها.
• محدود کردن پروتکل‌های قدیمی (مثلاً غیرفعال کردن POP/IMAP در صورت عدم نیاز).
• پیاده‌سازی قوانین DLP و فعال‌سازی Google Vault برای آرشیو قانونی.
• کنترل دسترسی به API و مدیریت OAuth client whitelist.
• تنظیم هشدارهای امنیتی و مانیتورینگ ورودهای مشکوک.

پیگیری مشکلات، لاگ‌ها و عیب‌یابی

ابزارها و روش‌ها:

• Message Log Search در کنسول Admin برای ردیابی ایمیل‌ها (delivery, spam, rejected).
• بررسی رکوردهای DNS با dig Или nslookup.
• Использование swaks Или openssl برای تست اتصال SMTP.
• بررسی bounce messages و کدهای SMTP (مثل 550, 421, 451).
• بررسی DMARC Aggregate Reports برای الگوهای ریجکت و spoofing.

openssl s_client -connect smtp.gmail.com:587 -starttls smtp -crlf

راهکارهای عملیاتی و مقیاس‌پذیری

نکات عملیاتی:

• برای ارسال حجمی (خبرنامه، تراکنشی) از سرویس‌های تخصصی ارسال ایمیل (مثل SendGrid, Mailgun, Amazon SES) استفاده کنید؛ Google Workspace برای ایمیل‌های سازمانی روزمره مناسب است اما محدودیت‌های روزانه دارد.
• در صورت نیاز به SMTP relay با IP اختصاصی یا warm-up، می‌توانید از سرورهای ابری با IP اختصاصی و زیرساخت BGP و حفاظت ضد DDoS استفاده کنید تا deliverability بهتر شود.
• برای تیم‌های توزیع‌شده، DNS anycast و CDN می‌تواند سرعت و دسترسی وب‌میل و APIهای مرتبط را افزایش دهد.

بکاپ و نگهداری داده‌ها

Google Vault برای نگهداری و آرشیو قانونی پیشنهاد می‌شود. برای بکاپ مستقل نیز می‌توان از ابزارهای IMAP backup مانند mbsync Или offlineimap یا سرویس‌های بکاپ ثالث استفاده کرد.

~/.mbsyncrc:
IMAPAccount remote
Host imap.gmail.com
User [email protected]
PassCmd "gpg2 --quiet --for-your-eyes-only --no-tty -d ~/.passwords/imap.gpg"
SSLType IMAPS
...
mbsync -a

نکات مخصوص DevOps، تریدرها و گیمرها

DevOps: استفاده از OAuth2 برای سرویس‌ها به‌جای رمز ساده؛ مانیتور quotas و API permissions؛ یکپارچه‌سازی با IAM و SIEM سازمانی.

Трейдеры: انتخاب لوکیشن سرور نزدیک به بروکر برای اطلاع‌رسانی ایمیل و سیستم‌های هشدار با کمترین latency.

Геймеры: برای ایمیل‌های مرتبط با اکانت و نوتیفیکیشن‌ها از DKIM قوی استفاده کنید تا پیام‌ها در پوشه اسپم نروند؛ استفاده از لوکیشن نزدیک برای کاهش تأخیر در تأیید چندعاملی مهم است.

سناریوهای عملی — نمونه‌ها

سناریوی ۱: راه‌اندازی سریع برای استارتاپ — ثبت دامنه، ایجاد Google Workspace Business Starter، افزودن 10 کاربر، تنظیم MX/SPF/DKIM، فعال‌سازی 2-Step و Google Vault پایه.

سناریوی ۲: مهاجرت از cPanel — استفاده از imapsync یا Data Migration Service، تغییر رکورد MX در زمان کلیدی پس از همگام‌سازی، و تست دریافت/ارسال قبل از غیرفعال کردن سرویس قدیمی.

سناریوی ۳: ارسال لاگ سرویس از سرور ابری — تنظیم Postfix روی سرور ابری با relayhost به smtp-relay.gmail.com یا سرویس تراکنشی، پیکربندی TLS و auth، اضافه کردن IP سرور به فهرست مجاز در کنسول Admin.

جمع‌بندی و راهکارهای پیشنهادی

با تنظیم صحیح DNS (MX/SPF/DKIM/DMARC)، احراز هویت قوی، مهاجرت منظم و استفاده از امکانات مدیریتی Google Workspace می‌توانید یک بستر ایمیلی امن، قابل‌اعتماد و مقیاس‌پذیر ایجاد کنید.

برای سازمان‌هایی که نیاز به کمترین تأخیر و دسترسی جهانی دارند، بهره‌گیری از سرورهای ابری و VPS با لوکیشن‌های متعدد، CDN، BGP، IP اختصاصی و حفاظت ضد DDoS می‌تواند عملکرد و deliverability ایمیل را بهبود دهد.

Часто задаваемые вопросы