如果贵组织中有邮件采用其他服务或其他加密格式,那么作为管理员,您可以使用 S/MIME 格式将这些邮件作为客户端加密邮件迁移到 Gmail。
已迁移且包含数字签名和加密的邮件会在 Gmail 中安全呈现,内嵌图片、超链接和附件也会显示。
某些服务可能会允许用户创建没有数字签名的 S/MIME 邮件,并且存在众所周知的漏洞。当这些“仅加密”邮件导入 Gmail 后,系统会以安全的格式显示这些邮件,以防范可能的漏洞利用。这意味着,Gmail 客户端加密功能 (CSE) 不会在界面中显示内嵌图片、超链接或附件,但底层邮件会继续保留其所有内容。
迁移 S/MIME 加密的邮件
Gmail CSE 原生支持标准 S/MIME 邮件加密格式,Microsoft 和其他邮件服务也使用此格式。如果您要将加密的 S/MIME 邮件从 Microsoft 服务迁移到 Gmail,则可以将加密邮件按原样迁移。
要让 Gmail CSE 解密和显示先前存储在 Microsoft 服务中的 S/MIME 邮件,必须为 Gmail 用户账号配置 Microsoft 环境中使用的 S/MIME 用户证书。此外,您还必须使用 Microsoft 服务中相同的证书为用户设置 Gmail API 和 Gmail CSE。如需了解详情,请参阅仅限 Gmail:为客户端加密功能配置 S/MIME 证书。
为 Gmail 账号配置 S/MIME 证书后,您就可以将邮件从 Microsoft 服务迁移到 Gmail。如需了解详情,请参阅将您的数据迁移到 Google Workspace。
迁移非 S/MIME 格式和明文归档
如果贵组织中有邮件采用非 S/MIME 格式加密,或者有要在迁移前加密的纯文本归档文件,请使用 Gmail CSE 迁移实用程序将邮件转换为 Gmail CSE 使用的 S/MIME 格式。
如需使用迁移实用程序转移邮件,请执行以下操作:
- 从服务提供商处导出加密邮件。
- 如果邮件已加密,请使用非 S/MIME 加密供应商提供的工具将邮件解密为明文。
- 将邮件解密为明文后,请使用 Gmail CSE 迁移实用程序在本地加密邮件并将其迁移到 Gmail CSE。
如果您使用的是 Gmail
如需使用迁移实用程序转移邮件,请使用 Google 导出或 Google Workspace 保险柜从 Gmail 导出加密邮件。使用非 S/MIME 加密供应商提供的工具将邮件解密为明文。
Gmail CSE 迁移实用程序会对明文邮件进行操作。通过 Google 保险柜导出邮件时,请确保导出内容使用 mbox 文件格式。保险柜生成的 PST 文件中包含的信息不足,无法将邮件重新插入 Gmail。
对于每个导入的邮件,Gmail CSE 迁移实用程序除了原始邮件之外,还会添加 S/MIME 加密的邮件副本。每个使用 Gmail 的用户账号都必须有足够的可用空间,才能插入邮件副本。
系统要求
- Windows 10/11 x86_64
- Linux x86_64
- macOS 12+ x86_64 或 M
支持的文件格式
Gmail CSE 迁移实用程序会对明文邮件进行操作。请确保您的邮件采用以下任一文件格式:
- PST
- Mbox
Gmail CSE 迁移实用程序目前不支持 MSG 文件格式。如需详细了解支持的格式,请参阅文件格式文档。
准备工作
在您可以使用迁移实用程序迁移邮件之前,请为用户设置 Gmail API 和 Gmail CSE。如需了解详情,请参阅仅限 Gmail:为客户端加密功能配置 S/MIME 证书。
迁移将会重复使用您在设置 Gmail CSE 期间使用的 Google 服务账号 API 凭证。
下载 Gmail CSE 迁移实用程序
- 将 Gmail CSE 迁移实用程序下载到您的设备。
运行 Gmail CSE 迁移实用程序
如需使用迁移实用程序,请在终端或命令提示符中输入以下命令。将占位符替换为您的标志和文件名。
Windows
> gmail-cse-migrate.exe [可选标志] -api-credential=<文件名> -input=<文件名>
例如,如需将邮件从名为 input.pst 的文件迁移到 Gmail CSE,请输入以下命令:
> gmail-cse-migrate.exe -api-credential=my-api-credential.json -input=input.pst
Linux、macOS
$ ./gmail-cse-migrate[可选标志] -api-credential=<文件名> -input=<文件名>
例如,如需将邮件从名为 input.pst 的文件迁移到 Gmail CSE,请输入以下命令:
$ ./gmail-cse-migrate -api-credential=my-api-credential.json -input=input.pst
注意:
- 运行此命令时,请提供以下必需标志:
-api-credential=<文件名> 和 -input=<文件名> - 如需详细了解必需标志的功能,请输入 gmail-migrate.exe -help。
- 迁移实用程序可对单个输入文件和目录进行操作。
- 对于输入目录,迁移实用程序会以递归方式遍历该目录,以搜索扩展名为 .pst 和 .mbox 的文件。
- 您可以在单次执行中指定多个输入文件和目录。
测试迁移
我们强烈建议在将邮件添加到 Gmail 存储空间之前,先执行迁移过程的试运行过程。这有助于您找出并修正可能导致迁移失败的任何潜在问题。例如,如果您未配置任何 CSE 密钥对,则某些邮件在迁移期间可能会无法加密。试运行有助于您在该问题导致迁移失败之前加以发现。
如需执行试运行,请使用 -dryrun 标志。例如,如果您的 Google 服务账号私钥位于 c:\my_svc_acct.json2,请输入以下命令:
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:\my_svc_acct.json -dryrun
此示例会对两个输入文件 user1.pst 和 user2.pst 执行迁移过程的试运行。试运行会验证以下内容:
- 可以解析文件中的邮件。
- 可以对邮件进行加密,为迁移做好准备。
完成迁移
试运行后,输入以下命令以完成迁移。
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:\my_svc_acct.json
验证迁移
邮件迁移成功后,系统会将 S/MIME 加密的邮件副本插入邮件所有者的 Gmail 账号中,同时插入以非 S/MIME 格式加密的原始邮件。迁移实用程序不会删除原始邮件。
如果在检查用户账号后发现,Gmail CSE 可以使用 S/MIME 副本,那么账号所有者或企业管理员可以删除以非 S/MIME 格式加密的原始邮件。为帮助您找到这些邮件,Gmail CSE 迁移实用程序会为每封原始邮件添加一个名为“Gmail CSE Migration Source Messages”的自定义用户标签。
使用 Gmail 界面删除邮件时请务必小心。默认界面会将邮件汇总为会话串或会话,删除一封邮件将会删除整个会话,包括未加密的邮件和插入的 CSE 邮件副本。用户应首先通过 Gmail 设置窗格停用会话视图,以便删除操作适用于单封邮件而非会话串。
如果迁移失败…
- 如需找出失败原因,请执行以下操作:
- 查看日志文件,了解是否有错误消息。
- 确保迁移者拥有访问 PST 文件和 Gmail 账号的必要权限。
- 验证 API 凭证是否有效。
- 确认 PST 文件未损坏。
- 进行必要的更改,以解决迁移失败问题。
- 重新运行迁移命令。
注意:迁移实用程序会跳过在上次尝试中成功迁移的邮件。
迁移者标志
可以使用一个或两个前导连字符(而不是斜杠)指定迁移者标志。例如,在 Windows 上,您可以使用以下任一方法指定用于显示帮助信息的标志:
-help
--help
对于接受字符串参数的标志,您可以使用等号或空格来指定它们以定义参数。例如,以下标志是等效的:
-input=filename.pst
-input filename.pst
帮助标志
| 标志 | 说明 |
|---|---|
| -version |
输出版本字符串。 如要与支持团队联系,请提供您遇到问题的版本。 |
| -help | 在屏幕上输出所有标志的使用情况。 |
| -logfile |
指定输出文件,在其中写入执行日志。 如果文件名中包含特殊文本 TIMESTAMP, |
迁移标志
| 标志 | 说明 |
|---|---|
| 输入 <directory_or_file> | 必需。指定输入目录或邮件文件。 |
| -api-credential <文件> | 必需。指定一个 JSON 文件,其中包含 具有全网域授权访问权限的 Google 服务账号的私钥。 |
| -dryrun | 可选。用于指定迁移者能否处理邮件文件 并准备好迁移邮件。 |
