Unser Unternehmen möchte mit einem externen Drittanbieter zusammenarbeiten, der E-Mails senden und empfangen muss. Wir möchten, dass diese E-Mails von unserer Domain (oder einer Subdomain) kommen, damit die Kunden auf die Legitimität der E-Mails vertrauen und die Wahrscheinlichkeit, dass sie sie für Phishing oder Spam halten, verringern. Wir glauben auch, dass dies dazu beiträgt, das Markengefühl der Interaktionen zu verbessern. Ein sekundäres Ziel ist, dass der Drittanbieter das Branding und die Vorlagen wie standardmäßige rechtliche Fußzeilen der E-Mails verwaltet.
Wir verwenden bereits SAAS-Anbieter wie Mandrill (nur ausgehend) und Intercom (eingehend und ausgehend), die E-Mails im Namen unserer Domain senden können, indem wir den Besitz bestätigen und dann unsere DNS-Einträge ändern, um sicherzustellen, dass Dinge wie SPF und DKIM gemäß unserer DMARC-Richtlinie angewendet werden. Wir haben dann eine Routing-Regel für die GSuite GMail-App, die die eingehenden E-Mails an Intercom weiterleitet.
In diesem Fall schlägt der Drittanbieter vor, dass wir ihm über ein Benutzerkonto direkten Zugriff auf unsere GSuite gewähren oder dass er seine E-Mails über unsere Mailserver (für uns sind das die Mailserver von Google) leitet. Ich glaube, dass dies aus mehreren Gründen unerwünscht ist:
- SSO (Anmeldung mit Google), das möglicherweise Zugriff auf Systeme gewährt, die wir als intern betrachten.
- Es handelt sich nicht um interne Mitarbeiter und das Vorhandensein eines Kontos bedeutet, dass uns das Benutzerkonto in Rechnung gestellt wird und sie automatisch zu unserer all@-E-Mail-Gruppe hinzugefügt werden. Wir müssen auch darauf achten, Apps wie Drive und Kalender zu deaktivieren, da wir nur E-Mails möchten.
- Es handelt sich lediglich um eine Komplexität, mit der wir bei unseren SAAS-Anbietern nicht zurechtkommen mussten und bei der dasselbe erreicht wurde.
Falls relevant, hat uns der Drittanbieter informiert, dass er derzeit OWA verwendet und die Interaktionen manuell erfolgen (z. B. E-Mails von Menschen getippt). Möglicherweise gibt es einige Möglichkeiten, ihn davon abzubringen, OWA zu verwenden.
Meine Frage ist, ob es hier bewährte Vorgehensweisen oder ausgetretene Pfade gibt, um dies zu erreichen. Ein Bonus wäre, wenn es ein SAAS-Angebot gibt, das bei der Lösung dieses Problems helfen kann (ich habe Intercom in Betracht gezogen, aber das kann noch viel mehr und das schlägt sich im Preis nieder).
Antwort1
Diese Gründe, die Sie gegen den Zugriff auf Ihre GSuite anführen, klingen für mich ziemlich überzeugend. An Ihrer Stelle würde ich sie ihren eigenen Mailserver einrichten lassen, der so konfiguriert ist, dass er einen Ihrer Mailserver als ausgehendes Relay verwendet. Ich würde außerdem ein privates IPSec-VPN einrichten und den Relay-Zugriff auf diese eine IP innerhalb der privaten IP-Domäne des IPSec-VPN beschränken. Sie können gerne eine TLS-Client-Authentifizierung hinzufügen, um die Sicherheit dieser Verbindung zu erhöhen. Dies hat einige Vorteile:
- Sie können die DKIM-Signatur selbst hinzufügen und alles, was Sie mit diesen E-Mails weiter tun möchten
- Sie können diesen ausgehenden E-Mails Filter hinzufügen, die Dritte nicht kontrollieren können, sodass Sie die Kontrolle darüber behalten, was im Namen Ihrer Marke / Ihres Unternehmens getan wird
Ich hoffe es hilft!