Embedded Files
Post date: 16-ene-2017 22:32:31
Le ha sido útil el artículo? Suscríbase a las entradas
G Suite es una herramienta funcional y amigable tanto para usuarios como para administradores. En ocasiones la evaluación de si ir o no la nube no es un tema técnico sino más bien presupuestario. Pues bien, existen alternativas que posibilitan la optimización de recursos y la vez contar con las bondades de la suite de aplicaciones. A manera de ejemplo podríamos tener un número pequeño de cuentas en G Suite y otros en un número superior en nuestra plataforma “In-house” todo bajo un mismo nombre de dominio. El número pequeño de usuarios bien podría ser un equipo gerencial o administrativo en una empresa y el resto de cuentas de usuarios regulares de actividades operativas, administrativas o logísticas. En esta entrada voy a describir los pasos para integrar de forma efectiva una plataforma de correo tradicional como Zimbra, Thunderbird u otros como MS Exchange, Lotus Notes, etc, en realidad no tiene importancia el sistema base de correo electrónico que se este empleando, la configuración que voy a describir nos posibilitará utilizar los servidores de correo de Google como puerta de entrada, aprovecharnos de las ventajas del sistema antispam y antivirus de G Suite y rutear los mensajes sea hacia G Suite o nuestro sistema de correo “In-house” dependiendo de donde se encuentre alojada la cuenta del usuario. Cual es el beneficio de fusionar nuestra plataforma “In-house” con un sistema de mensajería y colaboración como G Suite? bueno los beneficios son importantes entre los que destaco:
- Acabar con los problemas de listas negras y spam
- Optimizar el presupuesto de IT asignando licencias de G Suite para un número reducido de usuarios.
- Omitir hardware y software dedicado para Antispam
- Alta disponibilidad para el grupo de cuentas alojadas en G Suite
- Caracterìsticas de colaboración y acceso a aplicaciones como Videoconferencia con Hangouts
- Capacidad para dar el salto total hacia la nube o incrementar de forma parcial el nùmero de usuarios alojados en G Suite si los resultados de las evaluaciones tècnica y presupuestaria a futuro son favorables.
El primer paso en nuestra configuración es el registro de nuestro dominio actual, es decir el dominio que estemos utilizando con nuestra plataforma de correo tradicional en el servicio de G Suite. El registro lo podemos hacer accediendo por: https://gsuite.google.com/signup/basic/welcome
El registro no implica en absoluto cambios en la configuración o entrega de mensajes en la plataforma de correo que mantienes en tu infraestructura, es únicamente una bandera que nos indica que nuestro dominio esta listo para hacer uso de la infraestructura de Google.
Uno de los pasos del registro tiene que ver con la necesidad de demostrar que eres el propietario del dominio que estés utilizando. La validación de propiedad del dominio la puedes realizar utilizando varios métodos como por ejemplo utilizar un registro CNAME o TXT que contiene una cadena proporcionada por Google y el cual se deberá incluir en la página de administración de DNS del dominio. Existen métodos alternativos como alojar un archivo HTML de igual forma proporcionado por Google el cual se deberá colocar en el directorio www de la página web del dominio. La validación de la propiedad del dominio es fundamental para seguir adelante con la configuración del esquema de integración.
En la etapa final del registro Google nos proporciona ya una consola de administración misma que utilizaremos para realizar la creación de usuarios y configurar la regla de ruteo que determine si los mensajes que se envíen a nuestro dominio deberán ser entregados en cuentas de G Suite o ser ruteados hacia nuestra infraestructura “In-house”.
En mis casi 7 años de experiencia con G Suite he podido constatar que varios administradores de correo avanzan sin inconveniente hasta este punto realizando el registro e incluso creando las primeras cuentas en la consola de administración provista por Google sin embargo y por varias razones entre ellas el desconocer que tenemos una alternativa como una plataforma hìbrida, desisten en sus intentos y abandonan la intención.
En la siguiente ilustración se muestra como se presenta la consola de administración de G Suite.
Nuestro siguiente paso es acceder por la sección “Usuarios” y crear las cuentas que serán las que harán uso de G Suite. Personalmente recomiendo que el número de cuentas a ser alojadas en G suite no sean inferiores a 10. Luego voy a explicar ciertos criterios que Google aplica en función del número de cuentas para realizar envíos de correo desde fuera de la plataforma, en nuestro caso nuestro sistema tradicional de correo alojado en nuestra infraestructura.
Vamos ahora a configurar la regla de ruteo que determina si un correo será entregado en las cuentas de G Suite o si por el contrario deberá ser enviado hacia nuestro sistema de correo en nuestra infraestructura, para ello accedemos desde la consola de administración por la sección “Aplicaciones” luego “G Suite” luego “Gmail” luego “Configuración avanzada”. En la pantalla que se presenta nos desplazamos hasta una cabecera denominada “Enrutamiento” y luego a la sub cabecera “Enrutamiento de correo electrónico”
Marcamos el checkbox “Destino” e ingresamos la dirección IP pública de nuestro sistema de correo tradicional, entiéndase que esta dirección bien podría ser la ip pública con la que se presenta nuestro servicio de antispam o bien la ip pública de nuestro sistema de correo “In-house”. Luego seleccionamos la opción “Solo cuentas con buzones no identificados”. Al final de la página hacemos clic en el enlace “Guardar”.
El siguiente paso será realizado en el sistema de correo de nuestra infraestructura. La configuración que necesitamos llevar a cabo se centra en las cuentas de usuario que serán alojadas en G Suite y que deberán mantenerse activas en el sistema de correo tradicional. Generalmente los sistemas de correo que mantenemos en nuestra infraestructura emplean registros DNS internos para mantener mensajería a través de nuestra LAN, por este motivo si una cuenta alojada en nuestro sistema de correo convencional envía un mensaje a una cuenta de usuario alojada en G Suite se deberá crear una regla de reenvío denominada “Entrega dual” de tal forma que el mensaje a su arribo sea direccionado a un nuevo destino que será la cuenta alojada en G Suite. En cada una de estas cuentas se requerirá habilitar una regla dual que entregue correos en una dirección adicional. G Suite nos proporciona una alternativa para sortear este obstáculo siendo que el nombre de dominio que necesitamos alcanzar es el mismo en nuestra infraestructura y en G suite y por este motivo los correos enviados por cuentas de correo de usuarios alojadas en nuestro sistema de correo tradicional hacia cuentas de usuarios alojadas en G Suite pudieran nunca llegar a su destino. Vamos de esta forma a habilitar un nombre alternativo que nuestro sistema pueda entender como una ubicación diferente hacia la cual pueda enviar correos. Accedemos a la consola de administración en G Suite por la sección “Dominios” luego “Añadir/quitar” dominios. En la sección “Alias de dominio de prueba” hacemos clic en el enlace “Activar”. Ahora contamos con un nombre alternativo que podemos utilizar desde nuestras cuentas de usuario en nuestro sistema de correo tradicional para depositar los mensajes de los usuarios alojados en G Suite.
Para cada usuario alojado en G suite se deberá crear una regla de entrega dual en nuestro sistema de correo tradicional con el siguiente formato.
Entrega adicional a: nombredeusuario@dominio.test-google-a.com
Recalco que hasta el momento no hemos hecho otra cosa más que alistar el ambiente de nuestro sistema híbrido mismo que sigue sin estar activo, es decir nuestro sistema de correo tradicional se mantiene sin ningún tipo de afectación enviando y recibiendo mensajes.
Nuestra configuración se encuentra a un paso de estar activa y el último paso es indicarle al mundo que ahora nuestro dominio recibe mensajes en la nube haciendo uso de la infraestructura de Google con varios servidores en un esquema de redundancia y alta disponibilidad y ya no en nuestra única dirección IP que posiblemente corresponda a nuestro sistema antispam, para ello necesitamos reemplazar los registros de intercambio de correo (Registros MX) que son los encargados de decirle al mundo quién recibe los mensajes que sean enviados a nuestro dominio. La recomendación es ejecutar este cambio un día Viernes por la noche siendo que la propagación de registros por todos los servidores de DNS en el mundo puede tomar hasta 72 horas. Nuestro registro MX lo encontramos de igual forma en la página de administración de registros de nuestro dominio. El registro que se muestra muy posiblemente se corresponda con una única dirección IP misma que procedemos a eliminar y a reemplazar con los siguientes registros. Estos registros corresponden a la infraestructura que Google utiliza para la plataforma de G Suite.
Comparto el enlace donde pueden consultar si existe alguna actualización de esta información.
https://support.google.com/a/answer/174125?hl=es
Servicio de Retransmisión SMTP
Nuestro sistema híbrido se encuentra activo y trabajando sin embargo existe la necesidad de reforzar la seguridad y garantizar la entrega de los mensajes que son enviados por usuarios que se mantienen con cuentas en nuestro sistema de correo tradicional hacia otros dominios de otras empresas o personas con los cuales exista interacción. Debido a que estos mensajes son enviados haciendo uso de un nombre de dominio que ya no se corresponde con una dirección IP anterior, necesitamos garantizar que cualquier sistema de mensajería en otro lugar acepte sin ninguna restricción a los mensajes provenientes de estas cuentas. Existe más de una forma para asegurar la entrega correcta de estos mensajes, una de estas formas es a través de la inclusión de registros SPF, de los cuales hablaré en otra entrada. El servicio de retransmisión SMTP es un esquema complementario al uso de registros SPF. Lo considero recomendable en este y esquema de mensajería ya que nos posibilita filtrar y escanear los correos salientes de otros sistemas SMTP de nuestra infraestructura para que adquieran los beneficios de los servicios de antispam y antivirus de Google, es decir hacer pasar este tráfico por un sistema de detección de spam y virus antes de que sea dirigido a su destino.
Para habilitar esta configuración accedemos por la consola de administración de G Suite, luego “Aplicaciones”, luego “G Suite”, luego “Gmail”, luego “Configuración Avanzada”, luego ubicamos el encabezado “Enrutamiento” y luego el sub encabezado “Servicio de retransmisión SMTP”. Hacemos clic sobre el enlace “Configurar” y editamos la pantalla que se presenta con la información de nuestra infraestructura.
En el punto 1 seleccionamos la opción “Solo las direcciones de mis dominios”
En el punto 2 “Autenticación” marcamos el checkbox “Solo aceptar correos de las direcciones IP especificadas” haciendo clic sobre el enlace “Añadir Intervalo de IP” ingresamos la IP o rango de direcciones IP de nuestra infraestructura que harà uso del servicio de retransmisión SMTP y finalmente dejamos desmarcadas las casillas de Autenticación SMTP y cifrado TLS. Al final hacemos clicc sobre el enlace “Guardar” y luego nuevamente “Guardar” en la página anterior.
Cerca del inicio de la entrada hablé acerca de ciertas restricciones y límites que Google emplea para hacer uso de este servicio que ahora ya tiene nombre y lo conocemos como “Servicio de retransmisión SMTP”. Las restricciones a la cuales hacia referencia para el uso de este servicio se describen en el siguiente enlace bajo el encabezado “Límites de envío para el servicio de retransmisión SMTP”.
https://support.google.com/a/answer/2956491?hl=es
Algunas de las consideraciones que se muestran en este enlace hacen referencia a el número de usuarios registrados en G Suite que se requieren para calcular los valores de envíos en determinadas ventanas de tiempo. A pesar de estas restricciones el esquema híbrido que he descrito en esta entrada bien podría omitir el paso de correos de infraestructura local, es decir de cuentas o sistemas alojados en nuestra infraestructura a través de G suite pero de forma mandatoria incluir un registro SPF en la página de administración del dominio (Host records) que detalle la dirección IP o el rango de direcciones IP admitidas para envío de mensajes a nombre de nuestro dominio.
Comparte!
Report abuse