Полное руководство по настройке Google Workspace и управлению электронной почтой.

Начало работы: Создайте учетную запись и добавьте домен.

Чтобы настроить Google Workspace, сначала перейдите по ссылке: admin.google.com Зайдите и создайте организационную учетную запись.

Введите информацию о вашей организации, основное доменное имя и данные владельца. Выберите подходящий тарифный план в зависимости от ваших потребностей в электронной почте, архивировании и хранилище (например, Начинающий предприниматель, Стандарт, Плюс, Предприятие).

Добавить и подтвердить домен

Из административной консоли в соответствующий раздел Домены → Управление доменами Перейдите и выберите этот вариант. Добавить домен Выбирать.

Google предлагает несколько способов подтверждения права собственности: запись TXT в DNS, HTML-файл или метатег. Если ваша DNS-система находится в панели управления нашей компании, войдите в свою панель DNS и добавьте запись TXT со значением, предоставленным Google.

dig TXT yourdomain.com +short
nslookup -type=TXT yourdomain.com

После публикации записи (обычно от нескольких минут до 24 часов в зависимости от TTL), в консоли администратора нажмите Проверять Щелкните.

Настройка записей MX, SPF, DKIM и DMARC.

Для безопасного получения и отправки электронной почты необходимы записи. MX, SPF, ДКИМ и DMARC Набор.

MX-записи для Google Workspace

В DNS добавьте следующие MX-записи (укажите приоритеты как есть):

• ASPMX.L.GOOGLE.COM. (приоритет 1)
• ALT1.ASPMX.L.GOOGLE.COM. (приоритет 5)
• ALT2.ASPMX.L.GOOGLE.COM. (приоритет 5)
• ALT3.ASPMX.L.GOOGLE.COM. (приоритет 10)
• ALT4.ASPMX.L.GOOGLE.COM. (приоритет 10)

dig MX yourdomain.com +short

Запись SPF (TXT)

Создайте TXT-запись, чтобы предотвратить подмену отправителя. Простой пример:

v=spf1 include:_spf.google.com ~all

В DNS: Тип: TXT, Имя: @, Значение: “v=spf1 include:_spf.google.com ~all”

Если вы используете внутренние серверы или другую службу переадресации, добавьте их в SPF, например:

v=spf1 include:_spf.google.com ip4:203.0.113.5 ~all

DKIM — Подпись в электронном письме

В консоли администратора: Приложения → Google Workspace → Gmail → Аутентификация электронной почты → Создание новой записи.

Один селектор Выберите (например, Google). Google создаст запись TXT с именем google._domainkey.yourdomain.com И это даст вам значение p=…. Добавьте запись в DNS, а затем включите DKIM в консоли администратора.

dig TXT google._domainkey.yourdomain.com +short

Примечание: Из ключа 2048-бит Периодически используйте и поворачивайте ключ (например, каждые 6-12 месяцев).

DMARC — Политика предотвращения и сообщения о мошенничестве

Добавить запись DMARC:

Тип: TXT, Имя: _dmarc, Пример значения (начальный режим отчета):

“"v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=100;"”

После ознакомления с отчетами вы можете p=карантин Или p=отклонить Поставь его.

Добавляйте пользователей, группы, псевдонимы и общие почтовые ящики.

Из административной консоли → Пользователи Используйте для создания новых учетных записей.

Чтобы получать электронные письма от других пользователей, вы можете: Группы По типу Совместный почтовый ящик Или из Делегированный почтовый ящик Использовать.

Для каждого пользователя можно настроить псевдоним; например: поддерживать@ Добавить в группу основного пользователя. Для командной почты лучше создать группу с необходимыми правами доступа (например, sales@ (как группа).

Настройки SMTP-ретранслятора и отправка данных с ваших серверов.

Для приложений, устройств или серверов приложений, которым необходимо отправлять электронную почту, существует два основных способа:

• Используется smtp-relay.gmail.com (Требуется авторизованный IP-адрес или аутентификация)
• Используя обычный SMTP-сервер Gmail. С помощью учетной записи приложения и пароля или OAuth2.

Пример конфигурации Postfix для отправки через smtp-relay.gmail.com:

relayhost = [smtp-relay.gmail.com]:587
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_tls_security_level = encrypt
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

В /etc/postfix/sasl_passwd:

[smtp-relay.gmail.com]:587    username:password

postmap /etc/postfix/sasl_passwd
systemctl restart postfix

Для проверки TLS и подключения:

openssl s_client -starttls smtp -crlf -connect smtp-relay.gmail.com:587

Или со взмахами:

swaks --to [email protected] --server smtp-relay.gmail.com --port 587 --auth LOGIN --auth-user username --auth-password password --tls

Совет по безопасности: Это лучше, чем OAuth2/XOAuth2 Используйте для обеспечения безопасности и масштабируемости; Google SMTP также можно использовать с паролями приложений, если включена двухфакторная аутентификация.

Перенесите электронную почту в Google Workspace.

Методы:

• Служба миграции данных в консоли администратора (для IMAP/Exchange)
• Миграция рабочих пространств Google для Microsoft Exchange (GWMME) или GWMMO
• Инструменты IMAP, такие как imapsync Для таможенных переводов

Пример использования imapsync:

imapsync --host1 oldmail.example.com --user1 [email protected] --password1 'oldpass' \
--host2 imap.gmail.com --user2 [email protected] --password2 'newpass' \
--ssl2

При масштабных миграциях лучше использовать серверы с высокой пропускной способностью, расположенные близко к пользователям, чтобы увеличить скорость передачи данных.

Настройки клиента (IMAP/POP/Exchange)

Традиционные настройки:

• IMAP (рекомендуется): imap.gmail.com, SSL/TLS порт 993
• SMTP: smtp.gmail.com, STARTTLS порт 587 или SSL порт 465
• POP3 (при необходимости): pop.gmail.com порт 995

Если включена функция единого входа (SAML), некоторым клиентам может потребоваться пароль приложения или аутентификация OAuth.

Безопасность и управление (лучшие практики)

Несколько практических советов:

• Активация двухфакторной аутентификации А также введение обязательного использования ключей безопасности для администраторов.
• Активировать Доступ с учетом контекста и Управление устройствами (MDM) Для мобильных телефонов.
• Ограничение использования устаревших протоколов (например, отключение POP/IMAP, когда они не нужны).
• Правила реализации DLP и включение Google Vault для юридического архивирования.
• Управление доступом к API и белым списком клиентов OAuth.
• Настройте оповещения о безопасности и отслеживайте подозрительные входы в систему.

Отслеживание проблем, ведение журналов и устранение неполадок.

Инструменты и методы:

• Поиск по журналу сообщений В административной консоли можно отслеживать электронные письма (доставка, спам, отклонение).
• Проверьте DNS-записи с помощью копать Или nslookup.
• Использование сваки Или openssl Для проверки подключения по протоколу SMTP.
• Проверьте наличие сообщений об ошибке доставки и кодов SMTP (например, 550, 421, 451).
• Проанализируйте сводные отчеты DMARC на предмет отклонений и подделок.

openssl s_client -connect smtp.gmail.com:587 -starttls smtp -crlf

Решения для обеспечения операционной эффективности и масштабируемости

Практические советы:

• Для массовой рассылки (новостные письма, коммерческие сообщения) используйте специализированные сервисы для отправки электронной почты (например, SendGrid, Mailgun, Amazon SES); Google Workspace подходит для повседневной корпоративной почты, но имеет дневные ограничения.
• Если вам нужен SMTP-ретранслятор с выделенным IP-адресом или для предварительной подготовки, вы можете использовать облачные серверы с выделенным IP-адресом, инфраструктурой BGP и защитой от DDoS-атак для повышения доставляемости.
• Для распределенных команд Anycast DNS и CDN могут повысить скорость и доступность веб-почты и связанных с ней API.

Резервное копирование и обслуживание данных

Для законного хранения и архивирования рекомендуется использовать Google Vault. Для автономного резервного копирования также можно использовать инструменты резервного копирования по протоколу IMAP, например... mbsync Или offlineimap Или воспользуйтесь сторонними сервисами резервного копирования.

~/.mbsyncrc:
IMAPAccount remote
Host imap.gmail.com
User [email protected]
PassCmd "gpg2 --quiet --for-your-eyes-only --no-tty -d ~/.passwords/imap.gpg"
SSLType IMAPS
...
mbsync -a

Советы для DevOps-специалистов, трейдеров и геймеров.

DevOps: Используйте OAuth2 для сервисов вместо простых паролей; отслеживайте квоты и разрешения API; интегрируйте с корпоративными системами IAM и SIEM.

Трейдеры: Выбор местоположения сервера, расположенного как можно ближе к брокеру, для систем уведомлений по электронной почте и оповещений с минимальной задержкой.

Геймеры: Используйте надежную систему DKIM для электронных писем и уведомлений, связанных с учетной записью, чтобы предотвратить попадание сообщений в папку «Спам»; использование местоположения поблизости важно для уменьшения задержки при многофакторной аутентификации.

Практические сценарии — примеры

Сценарий 1: Быстрый запуск стартапа — Зарегистрируйте домен, создайте Google Workspace Business Starter, добавьте 10 пользователей, настройте MX/SPF/DKIM, включите двухфакторную аутентификацию и базовый Google Vault.

Сценарий 2: Переход с cPanel — Используйте imapsync или службу миграции данных, изменяйте записи MX в ключевые моменты после синхронизации и проверяйте прием/отправку перед отключением старой службы.

Сценарий 3: Отправка журналов работы сервиса с облачного сервера. — Настройте Postfix на облачном сервере с использованием relayhost для smtp-relay.gmail.com или транзакционной службы, настройте TLS и аутентификацию, добавьте IP-адрес сервера в белый список в консоли администратора.

Заключение и предложенные решения

При правильных настройках DNS (MX/SPF/DKIM/DMARCБлагодаря надежной аутентификации, упрощенной миграции и использованию функций управления Google Workspace, вы можете создать безопасную, надежную и масштабируемую почтовую платформу.

Для организаций, которым требуется низкая задержка и глобальный охват, использование облачных и VPS-серверов с несколькими локациями, CDN, BGP, выделенных IP-адресов и защиты от DDoS-атак может повысить производительность и доставляемость электронной почты.

Часто задаваемые вопросы