如果贵组织中有邮件采用其他服务或其他加密格式,那么作为管理员,您可以使用 S/MIME 格式将这些邮件作为客户端加密邮件迁移到 Gmail。
包含数字签名和加密的迁移邮件将安全地呈现在 Gmail 中,并会显示内嵌图片、超链接和附件。
某些服务可能会允许用户创建没有数字签名的 S/MIME 邮件,并且存在众所周知的漏洞。当这些“仅加密”邮件导入 Gmail 后,这些邮件会以安全的格式显示,从而阻止可能的攻击。这意味着 Gmail 客户端加密功能 (CSE) 不会在界面中显示内嵌图片、超链接或附件,但基础邮件会继续保留其所有内容。
迁移经过 S/MIME 加密的邮件
Gmail CSE 原生支持标准 S/MIME 邮件加密格式,Microsoft 和其他电子邮件服务也使用该格式。如果您要将加密的 S/MIME 邮件从 Microsoft 服务迁移到 Gmail,则可以原封不动地迁移加密邮件。
要让 Gmail CSE 解密和显示先前存储在 Microsoft 服务中的 S/MIME 邮件,必须为 Gmail 用户账号配置 Microsoft 环境中使用的 S/MIME 用户证书。您还必须使用 Microsoft 服务中使用的相同证书,为您的用户设置 Gmail API 和 Gmail CSE。有关详情,请参阅“仅限 Gmail:上传加密密钥以启用客户端加密功能”。
为 Gmail 账号配置 S/MIME 证书后,您就可以将邮件从 Microsoft 服务迁移到 Gmail。有关详情,请参阅将数据迁移到 Google Workspace。
迁移非 S/MIME 格式和纯文本归档
如果贵组织中有邮件采用非 S/MIME 格式加密,或者有要在迁移前加密的纯文本归档文件,请使用 Gmail CSE 迁移实用程序将邮件转换为 Gmail CSE 使用的 S/MIME 格式。
如要使用迁移实用程序转移邮件,请执行以下操作:
- 从您的服务提供商那里导出加密邮件。
- 如果邮件已加密,请使用非 S/MIME 加密供应商提供的工具将邮件解密为明文。
- 将邮件解密为明文后,使用 Gmail CSE 迁移实用程序在本地加密您的邮件,并将其迁移到 Gmail CSE。
如果您使用的是 Gmail
如要使用迁移实用程序转移邮件,请使用 Google 导出或 Google Workspace 保险柜从 Gmail 中导出加密邮件。使用非 S/MIME 加密供应商提供的工具将邮件解密为明文。
Gmail CSE 迁移实用程序处理明文邮件。通过 Google 保险柜导出邮件时,请确保导出内容使用的是 mbox 文件格式。保险柜生成的 PST 文件包含的信息不足,无法将邮件重新插入 Gmail。
对于导入的每封邮件,除了原始邮件之外,Gmail CSE 迁移实用程序还会添加邮件的 S/MIME 加密副本。每个 Gmail 用户账号都必须有足够的可用空间来插入邮件副本。
系统要求
- Windows 10/11 x86_64
- Linux x86_64
- macOS 12+ x86_64 或 M
支持的文件格式
Gmail CSE 迁移实用程序处理明文邮件。确保您的邮件采用以下某种文件格式:
- 加拿大省销售税 (PST)
- Mbox
Gmail CSE 迁移实用程序目前不支持 MSG 文件格式。如需详细了解支持的格式,请参阅相关文件格式文档。
准备工作
您必须先为用户设置 Gmail API 和 Gmail CSE,然后才能使用迁移实用程序迁移邮件。有关详情,请参阅“仅限 Gmail:上传加密密钥以启用客户端加密功能”。
迁移时,系统会重复使用您在设置 Gmail CSE 期间使用的 Google 服务账号 API 凭据。
下载 Gmail CSE 迁移实用程序
- 将 Gmail CSE 迁移器实用程序下载到您的设备。
运行 Gmail CSE 迁移实用程序
要使用此迁移实用程序,请在终端或命令提示符中输入以下命令。将占位符替换为您的标志和文件名。
Windows
> gmail-cse-migrate.exe[可选标志] -api-credential=<文件名> -input=<文件名>
例如,要将电子邮件从名为 input.pst 的文件迁移到 Gmail CSE,请输入以下命令:
> gmail-cse-migrate.exe -api-credential=my-api-credential.json -input=input.pst
Linux、macOS
$ ./gmail-cse-migrate[可选标志] -api-credential=<文件名> -input=<文件名>
例如,要将电子邮件从名为 input.pst 的文件迁移到 Gmail CSE,请输入以下命令:
$ ./gmail-cse-migrate -api-credential=my-api-credential.json -input=input.pst
注意:
- 运行此命令时,请提供以下必需标志:
-api-credential=<文件名> 和 -input=<文件名> - 如需详细了解必需标志的功能,请输入 gmail-migrate.exe -help。
- 迁移实用程序可以针对单个输入文件和目录运行。
- 对于输入目录,迁移实用程序会以递归方式遍历该目录,以搜索扩展名为 .pst 和 .mbox 的文件。
- 您可以在一次执行中指定多个输入文件和目录。
测试迁移
我们强烈建议在将邮件添加到 Gmail 存储空间之前,先执行迁移过程的试运行过程。这有助于您找出并更正任何可能导致迁移失败的潜在问题。例如,如果您未配置任何 CSE 密钥对,某些邮件在迁移过程中可能无法加密。试运行可帮助您在此问题导致迁移失败之前发现此问题。
如需执行试运行,请使用 -dryrun 标志。例如,如果您的 Google 服务账号私钥位于 c:\my_svc_acct.json2,请输入以下命令:
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:\my_svc_acct.json -dryrun
本示例对 user1.pst 和 user2.pst 两个输入文件执行了迁移过程的试运行。试运行会验证以下内容:
- 可以解析文件中的邮件。
- 可以在迁移前对邮件进行加密。
完成迁移
试运行后,请输入以下命令以完成迁移。
gmail-migrate.exe -input user1.pst -input user2.pst -api-credential c:\my_svc_acct.json
验证迁移
邮件迁移成功后,系统会将经过 S/MIME 加密的邮件副本与以非 S/MIME 格式加密的原始邮件一起,插入到邮件所有者的 Gmail 账号中。迁移实用程序不会删除原始邮件。
如果在检查用户账号后发现,Gmail CSE 可以使用 S/MIME 副本,那么账号所有者或企业管理员可以删除以非 S/MIME 格式加密的原始邮件。为了帮助您找到这些邮件,Gmail CSE 迁移实用程序会在每封原始邮件中添加一个名为“Gmail CSE 迁移来源邮件”的自定义用户标签。
通过 Gmail 界面删除邮件时,请务必谨慎小心。默认界面会将邮件汇总为会话串或会话,删除一封邮件将会删除整个会话,包括未加密的邮件和插入的 CSE 邮件副本。用户应首先通过 Gmail 设置窗格停用会话视图,以便删除操作适用于单封邮件而非会话串。
如果迁移失败…
- 如需确定失败原因,请执行以下操作:
- 查看日志文件以获取错误消息。
- 确保迁移者拥有访问 PST 文件和 Gmail 账号的必要权限。
- 验证 API 凭据是否有效。
- 确认 PST 文件没有损坏。
- 进行必要的更改,以解决迁移失败问题。
- 重新运行迁移命令。
注意 :迁移实用程序会跳过在上一次尝试中成功迁移的邮件。
迁移者标志
可以使用一个或两个前导连字符(而不是斜杠)指定迁移者标志。例如,在 Windows 上,您可以通过以下任一方式指定用于显示帮助信息的标志:
-help
--help
对于接受字符串参数的标志,您可以使用等号或空格来指定它们以定义参数。例如,以下标志是等效的:
-input=filename.pst
-input filename.pst
帮助标志
| Flag | 说明 |
|---|---|
| -version |
输出版本字符串。 如要与支持团队联系,请提供您遇到问题的版本。 |
| -help | 输出所有标志的使用情况屏幕。 |
| -logfile |
指定输出文件,在其中写入执行日志。 如果文件名中存在特殊文本 TIMESTAMP, |
迁移标志
| 标志 | 说明 |
|---|---|
| input <目录或文件> | 必需。指定输入目录或邮件文件。 |
| -api-credential <文件> | 必需。为委派全网域访问权限的 Google 服务账号指定包含私钥的 JSON 文件。 |
| -dryrun | 可选。用于指定迁移者能否处理邮件文件 并准备好迁移邮件。 |
