Mail Integration for Google Workspace installeren

Met Mail Integration for Google Workspace worden bijlagen die per e-mail worden verzonden automatisch via SecuDoc beveiligd (middels een download-link in het originele bericht). Meer informatie over de werking vindt u hier.

De volledige installatie duurt 60-90 minuten.

Deze handleiding is bedoeld voor technisch beheerders van de Google Workspace omgeving.

Installatie van Mail Integration for Google Workspace bestaat uit de volgende stappen:

1. Voorbereiding
2. SMTP-relay instellen in Google Workspaces
3. Mailserver configureren in SecuDoc
4. Route instellen in Google Workspaces
5. E-mailadressen uitsluiten van Mail Integration (optioneel)
6. Koppelen van Google SSO (optioneel)
7. Uitvoeren van een validatietest

1. Voorbereiding

Door de volgende voorbereidingen te treffen, kunt u straks snel en probleemloos Mail Integration for Google Workspace in gebruik nemen:

1. Zorg ervoor dat Mail Integration is geactiveerd in uw SecuDoc-omgeving
   Uw toegang tot de mailintegratie dient te worden geactiveerd door een technisch medewerker van SecuDoc. Stel SecuDoc op de hoogte van uw wens om de Mail Integration te gebruiken. Heeft u
   Mail Integration aangeschaft als optie aan het eind van uw proefperiode? Dan hoeft u deze stap niet
   meer uit te voeren.
2. Koppel de hoofddomeinnaam
   Koppel in SecuDoc de domeinnaam van uw organisatie (primaire domeinnaam van de Google Workspace tenant) om ervoor te zorgen dat uw domein uitgelezen kan worden. Zie de handleiding voor het koppelen van de eigen domeinnaam.
3. Inventariseer welke e-mailadressen uitgesloten moeten worden van Mail Integration for Google Workspace
   Het kan wenselijk zijn om bepaalde e-mailaccounts van de organisatie permanent uit te sluiten van automatisch de bijlagen via SecuDoc versturen. Denk daarbij aan e-mailadressen die facturen uitsturen richting klanten, of richting 'scan en herken' systemen, waarbij het belangrijk is dat bestanden gewoon in de bijlage blijven. Zie hoofdstuk 5 om deze e-mailadressen uit te sluiten.
4. Maak een SecuDoc gebruiker aan die overeenkomt met uw e-mailadres

   Zorg er voor dat er een SecuDoc gebruiker bestaat voor het e-mailadres waarmee u gebruik wilt maken

   van de mailintegratie. Wilt u bijvoorbeeld mailen via SecuDoc met p.jansen@uworganisatie.nl, voeg

   dan een gebruiker toe in SecuDoc met hetzelfde e-mailadres. U kunt gebruikers toevoegen onder

   “Gebruikersbeheer” in het linker menu.
   
   Alternatief kunt u automatisch SecuDoc gebruikers laten aanmaken. U vindt deze instellingen in de tab
   “Mailintegratie” in het instellingenscherm.
   
   
   

2. SMTP-relay instellen in Google Workspaces

Door een SMTP-relay te configureren, geeft u SecuDoc toegang om e-mails te verzenden via uw Gmail omgeving.

1. Log in op https://admin.google.com/ met beheerrechten.
2. Navigeer in het linker menu naar Apps > Google Workspace > Gmail
   
3. Scroll door de opties heen en klik op Routing (helemaal onderin, niet te verwarren met Standaardrouting).
   
4. Scroll naar beneden en klik bij SMTP-relayservice op Configureren.
   
5. Er opent een nieuwe popup waar de SMTP-relay kan worden ingesteld. Neem de volgende instellingen over:

   1. Geef als beschrijving van de SMTP-relayservice in: SecuDoc Relayservice

   2. Laat Toegestande afzenders op Alleen adressen in mijn domeinen staan.

   3. Vink Verificatie > Alleen e-mails van de opgegeven IP-adressen accepteren aan.

   4. Voeg de volgende IP-adressen toe:

      • 2a01:7c8:aac3:295:5054:ff:fe6e:6cb3 (beschrijving: SecuDoc App ipv6, aanzetten: Ja)

      • 37.97.206.254 (beschrijving: SecuDoc App ipv4, aanzetten: Ja) 

      • 136.144.156.240 (beschrijving: SecuDoc Mailproxy, aanzetten: Ja)

   5. SMTP-verificatie vereisen blijft uitstaan.

   6. Versleuteling > TLS-versleuteling vereisen moet aan.

   7. Klik op Opslaan
      

6. U heeft de SMTP-relay nu succesvol toegevoegd.

3. Mailserver configureren in SecuDoc

U dient in SecuDoc uw mailserver instellingen te richten op de SMTP-relay die u zojuist heeft geconfigureerd. Na deze stap worden al uw e-mailberichten vanuit SecuDoc, via uw mailserver verzonden. Log hiervoor in op de voorgenoemde account met beheerdersrechten op https://www.secudoc.app/.

1. Ga naar Instellingen > E-mailinstellingen.
   
2. Schakel "Gebruik eigen mailserver" in.
3. Voer bij Afzender facilitaire mails het door u gemaakte facilitaire e-mailadres in (bijv. transfer@uwdomeinnaam.nl) en laat Gebruik e-mailadresafzender aanstaan.
4. Druk op Opslaan.
   
5. Nadat u op “Opslaan” heeft gedrukt, worden uw instellingen gecontroleerd. Wanneer uw Inbound

   Connector en SecuDoc instellingen goed zijn geconfigureerd, krijgt u de melding “Uw mailserver is

   ingesteld”. Controleer of u een testbericht van SecuDoc heeft ontvangen in uw Outlook mailbox.

   Slagen niet alle tests? Controleer dan in Exchange of uw Inbound Connector goed is ingesteld of

   probeer het later opnieuw.

4. Route instellen in Google Workspace

Door een Route in te stellen, stelt u uw Google Workspace omgeving in staat om e-mailberichten door te sturen naar de SecuDoc mailproxy, die de bijlagen uit uw e-mailbericht haalt en verzend als een

SecuDoc overdracht. Hiervoor logt u weer in op https://admin.google.com/

1. Navigeer in het linker menu naar Apps > Google Workspace > Gmail
   
2. Scroll door de opties heen en klik op Hosts.
   
3. Klik op Route toevoegen.
   
4. Er opent een nieuwe popup waar de nieuwe Route kan worden ingesteld. Neem de volgende instellingen

   over:

   1. Geef als naam in: SecuDoc MI

   2. Kies voor Enkele host en geef als hostnaam mailproxy.secudoc.nl in met poort 587.

   3. Laat MX-zoeken uitvoeren voor host uit staan en de overige zaken aan. 

   4. Vink Verificatie > Alleen e-mails van de opgegeven IP-adressen accepteren aan.

   5. Klik op TLS-verbinding testen om te controleren of deze werkt.

   6. Druk op Opslaan

5. Navigeer naar Compliance.
   
6. Scroll naar Content compliance en druk op Configureren.
   
7. Er opent een nieuwe popup waar de nieuwe Contentcompliance kan worden ingesteld. Neem de volgende instellingen over:

   1. Geef als naam in: SecuDoc

   2. Kies bij E-mailberichten waarvoor dit geldt voor Uitgaand.

   3. Kies bij de dropdown voor expressies voor Als AL het volgende overeenkomt met het bericht.

   4. Voeg een expressie toe met de knop Toevoegen en voeg de volgende 2 expressies toe:

      • Expressie 1

        1. Kies voor Geavanceerd contentresultaat.

        2. Kies bij Locatie voor Volledige berichtkoppen.

        3. Kies bij Overeenkomsttype voor Bevat niet.

        4. Voer bij content in: X-SecuDoc

        5. Druk op Opslaan.
           

      • Expressie 2

        • Kies voor Geavanceerd contentresultaat.

        • Kies bij Locatie voor Onbewerkt bericht.

        • Kies bij Overeenkomsttype voor Bevat tekst.

        • Voer bij content in: Content-Disposition: attachment

        • Druk op Opslaan.
          

   5. Kies bij Doe het volgende voor Route > Route wijzigen (inschakelen) en kies voor de reeds geconfigureerde route SecuDoc MI.

   6. Kies bij Versleuteling voor Beveiligd transport (TLS) vereisen.

   7. Druk op Opslaan

8. Nu worden bijlagen automatisch via SecuDoc verstuurd voor alle gebruikers.

5. Koppelen van Google SSO (optioneel)

Door Google SSO te koppelen kunt u uw gebruikersbeheer vereenvoudigen door alleen gebruikers met een toegestane Google-account toegang te geven tot SecuDoc. Volg deze stappen om het systeem te activeren:

5.1 Geheime sleutel instellen voor SecuDoc

1. Open de Google Workspaces beheerdersconsole
2. Open in het linker menu Directory -> Users
3. Open in de bovenste balk van het nieuwe scherm More Options -> Manage custom attributes en klik rechtsboven op “Add custom attribute”
4. Voer de volgende gegevens in:
   1. Category: SecudocKey
   2. Description: Geheime sleutel voor SecuDoc
   3. Name: SecudocKey
   4. Info type: Text
   5. Visibility: Visible to user and admin
   6. No. of Values: Single Value
5. Ga terug naar Directory -> Users
6. Open een gebruiker die gebruik gaat maken van SecuDoc via Google SSO
7. Open de kaart “User information”
8. Klik bij SecudocKey op het potloodje
9. Voer in het SecudocKey invoerveld een unieke sleutel in. Dit is een lang uniek wachtwoord wat de gebruikers niet hoeven te onthouden, die automatisch naar SecuDoc wordt gestuurd wanneer de gebruiker inlogt via Google. We raden aan de sleutel automatisch te genereren via: https://fusionauth.io/dev-tools/uuid-generator. Bij het openen van deze website wordt er meteen een sleutel gegenereerd die via de kopieerknop kan worden gekopieerd en geplakt kan worden in het invoerveld SecudocKey. Zodra de gebruiker heeft ingelogd terwijl de sleutel actief was, mag deze niet meer worden veranderd, anders kan er dataverlies optreden.
10. Herhaal stap 6 t/m 9 voor elke gebruiker die gebruik wil maken van SecuDoc. Houd rekening met gebruikers die in de toekomst nog toegevoegd gaan worden. Gebruikers waarbij de sleutel niet is ingesteld kunnen wel gebruikmaken van SecuDoc maar kunnen niet gebruik maken van functies waarbij een geheime sleutel is vereist zoals Veilige Berichten. Een geheime sleutel kan naderhand nog worden toegevoegd zonder dat de gebruiker hier problemen van ondervindt.

5.2 SAML configureren in Google Workspaces

1. Open de Google Workspaces beheerdersconsole
2. Open in het linker menu Apps -> Web and Mobile apps
3. Open in de bovenste balk van het nieuwe scherm Add App -> Add custom SAML app
4. Voer de volgende gegevens in:
   1. App Name: SecuDoc 
   2. Beschrijving: ActiveDirectory koppeling voor SecuDoc
5. Druk rechtsonder op Continue
6. Druk op Download Metadata
7. Druk rechtsonder op Continue
8. Voer de onderstaande gegevens in. {jouw domein} is in dit geval het eerder ingestelde volledige eigen domein die gebruikers bezoeken om SecuDoc te openen zoals secudoc.voorbeeld.nl. Druk :
   1. ACS URL: https://{jouw domein}/saml/assertion.xml
   2. Entity ID: https://{jouw domein}/saml/secudoc
9. Druk rechtsonder op continue
10. Voeg onder attributes alle attributen toe die nodig zijn voor SecuDoc. Voer bij “App attributes” dezelfde naam in als bij “Google Directory attributes” zoals “First name” in App Attributes wanneer “First name” wordt geselecteerd bij Google Directory attributes. De volgende attributen zijn nodig:
    1. First Name
    2. Last Name
    3. Primary email
    4. Phone number (optioneel voor gebruik van SMS-verificatie bij overdrachten)
    5. SecudocKey (opttioneel als dit is ingesteld in stap 1 van dit document)
11. Voeg onder Group Membership alle SecuDoc groepen toe als er gebruik wordt gemaakt van toegangsbeperking. Voer bij App attribute “Groups” in
12. Druk rechtsonder op Finish

5.3 SAML configureren in SecuDoc

1. Log in als beheerder op SecuDoc.
2. Open in het menu “Instellingen” en klik op “ActiveDirectory”
3. Zet de switch naast “Gebruik Active Directory” aan
4. Klik bij “Federatieve metagegevens” op “In plaats daarvan een XML bestand uploaden”
5. Upload het Metadata XML bestand dat eerder gedownload is in Google Workspaces
6. Voer optioneel onder “Configureer uw rechtengroepen” de naam van uw SecuDoc groepen in Google in. Gebruik een komma wanneer er meerdere groepen zijn. 
   1. De groepen ingevuld bij “Gebruikers” hebben toegang tot SecuDoc. Als er niks is ingevoerd, hebben alle groepen toegang
   2. De groepen ingevuld bij “Beheerders” worden automatisch een beheerder in SecuDoc
7. Druk op Opslaan. De gegevens worden geimporteerd en u kunt Google gebruiken om in te loggen via uw SecuDoc domein.
8. Optioneel kunt u testen of alle gegevens goed worden gecommuniceerd via de knop “Authenticeren met Active Directory”

6. Uitvoeren van een validatietest

Om zeker te weten dat SecuDoc Mail for Google Workspace juist is geïnstalleerd voert u de volgende gebruikerstests uit:

1. Stuur een e-mail zonder bijlage vanuit een gebruiker binnen de organisatie naar een extern e-mailadres (bijv. een Hotmail of Gmail adres).
   Controleer of deze aankomt om de basis mailflow te testen.
2. Stuur een e-mail met bijlage vanuit een gebruiker binnen de organisatie naar een extern e-mailadres (bijv. een Hotmail of Gmail adres).
   Controleer of de e-mail bij aankomst geen bijlage bevat maar een SecuDoc downloadbanner aan de bovenkant van de e-mail.
3. Stuur een e-mail met bijlage vanuit een gebruiker binnen de organisatie naar een andere gebruiker binnen de organisatie.
   Kijk of de e-mail gewoon met bijlage aankomt (dus van SecuDoc wordt uitgesloten). Hiermee controleert u of e-mails die tussen collega's worden gestuurd van SecuDoc worden uitgesloten.
   Alleen van toepassing als de aanbevolen regel 'The recipient is located outside the organisation' is ingeschakeld.
4. Stuur een e-mail met bijlage vanuit een gebruiker binnen de organisatie naar een extern e-mailadres (bijv. een Hotmail of Gmail adres). Selecteer in de SecuDoc Add-in in Outlook dat deze via SecuDoc mag lopen.
   Kijk of de e-mail gewoon met bijlage aankomt (dus van SecuDoc wordt uitgesloten). Hiermee controleert u of e-mails die in de Outlook Add-in worden gemarkeerd als 'uitsluiten' ook daadwerkelijk van SecuDoc worden uitgesloten.
   Alleen van toepassing wanneer de Outlook Add-in is uitgerold in de organisatie.

Goed gedaan

Als u alle bovenstaande stappen succesvol hebt doorlopen, dan heeft uw organisatie een belangrijke stap gezet in het veiliger versturen van bestanden en het daarmee beschermen van bestanden met gevoelige gegevens. Als u nog vragen hebt kunt u contact opnemen met onze klantenondersteuning via telefoonnummer 085 - 30 30 070 of per e-mail via support@secudoc.nl.