Diese Seite wird aktiv gepflegt und enthält die aktuelle TLS- und Chiffren-Unterstützung von Gmail.
Verschlüsselungsverfahren sind Algorithmen zum Schutz von Netzwerkverbindungen, die TLS (Transport Layer Security) verwenden. Es gibt im Allgemeinen drei Typen von Verschlüsselungsverfahren:
- Schlüsselaustauschalgorithmus:Dabei wird ein Schlüssel zwischen zwei Geräten ausgetauscht. Mit dem Schlüssel werden Nachrichten, die zwischen den beiden Geräten gesendet werden, ver‑ und entschlüsselt.
- Bulk-Verschlüsselungsalgorithmus:Damit werden die über die TLS-Verbindung gesendeten Daten verschlüsselt.
- MAC-Algorithmus:Damit wird geprüft, ob gesendete Daten bei der Übertragung unverändert bleiben.
Es gibt auch Verfahren mit Signaturen, bei denen Server oder Clients authentifiziert werden. Weitere Informationen zu Gmail und TLS-Verbindungen
Unterstützung für TLS 1.0, 1.1, 3DES und andere weniger sichere TLS-Verbindungen
Ab Mai 2025 unterstützt Gmail den Triple Data Encryption Standard (3DES) für eingehende Aushandlungen nicht mehr. Gmail unterstützt 3DES weiterhin für ausgehende Verhandlungen.
In Gmail wird immer versucht, die neuesten und sichersten TLS-Versionen zu verwenden. Weniger sichere Versionen werden nicht verwendet, wenn sicherere Versionen verfügbar sind. Die SMTP-Zustellung in Gmail unterstützt jedoch aus Gründen der Kompatibilität weniger sichere TLS-Versionen, wenn sicherere TLS-Versionen nicht unterstützt werden oder nicht verfügbar sind. Weniger sichere TLS-Versionen, die von Gmail unterstützt werden, sind TLS 1.0, TLS 1.1 und 3DES (nur ausgehend).
Um zu verhindern, dass böswillige Nutzer Verbindungen dazu zwingen, weniger sichere Versionen von TLS zu verwenden, werden Verbindungsverhandlungen immer verschlüsselt.
Sie können in Ihrer Admin-Konsole optional eine Einstellung für die Inhaltscompliance hinzufügen, um Nachrichten von Verbindungen abzulehnen, die nicht TLS 1.2 oder höher verwenden. Zur detaillierten Anleitung
Verschlüsselungsverfahren für die TLS-Verhandlung
Die SMTP-Server von Google akzeptieren diese Verschlüsselungsverfahren für die TLS-Verhandlung (Transport Layer Security).
die auch als TLS-Handshake bezeichnet wird. Während des Handshakes bestätigen und prüfen sich die kommunizierenden Seiten gegenseitig und einigen sich auf die verwendeten Verschlüsselungsverfahren und Sitzungsschlüssel.
Die Liste der Verschlüsselungsverfahren für die TLS-Verhandlung wurde im Mai 2025 aktualisiert.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.1 und TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Verschlüsselungsverfahren für ausgehende Server
Diese Verschlüsselungsverfahren werden von ausgehenden Gmail-Servern bevorzugt.
Gmail teilt dem empfangenden Server mit, dass die TLS-Versionen 1.3, 1.2, 1.1 und 1.0 unterstützt werden. Der empfangende Server bestimmt dann, welche TLS-Version für die Verbindung verwendet wird.
SSLv3 wird von Google nicht unterstützt.
Die Liste der Verschlüsselungsverfahren für ausgehende Server wurde im April 2020 aktualisiert.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Verbindungen ablehnen, die weniger sicher als TLS 1.2 sind
So konfigurieren Sie Gmail-SMTP-Verbindungen für die Verwendung von TLS 1.2 oder höher: Wenn Sie diese Einstellung hinzufügen, werden mehr eingehende Nachrichten abgelehnt und nicht an die Empfänger zugestellt. Weitere Informationen zur Einstellung für die Inhaltscompliance finden Sie unter Regeln für die erweiterte Filterung von E‑Mail-Inhalten einrichten.
-
Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü
AppsGoogle WorkspaceGmailCompliance.Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.
- Optional: Wählen Sie links die Organisation aus.
- Scrollen Sie im Abschnitt „Compliance“ zur Einstellung Inhaltscompliance. Bewegen Sie den Mauszeiger darauf und klicken Sie auf Konfigurieren. Wenn die Einstellung bereits konfiguriert wurde, bewegen Sie den Mauszeiger darauf und klicken Sie auf Bearbeiten oder auf Weitere hinzufügen.
Führen Sie im Feld Einstellung hinzufügen folgende Schritte aus:
Einstellungsoption Was muss ich tun? Unter Inhaltscompliance Geben Sie eine Beschreibung für die Einstellung ein, z. B. Immer TLS 1.2 verwenden.
Betroffene E‑Mails Wählen Sie Eingehend und Interner Empfang aus. Ausdruck zum Ablehnen von TLS 1.0-Verbindungen hinzufügen - Klicken Sie unter oder in der Tabelle Ausdrücke auf Hinzufügen. Das Feld Einstellung hinzufügen wird geöffnet.
- Klicken Sie oben im Feld auf das Menü
und wählen Sie Erweiterter Inhaltsabgleich aus. Wählen Sie unter Ort die Option Vollständige Header aus. - Wählen Sie unter Art der Übereinstimmung die Option Stimmt mit dem Regex überein aus. Die Optionen für reguläre Ausdrücke werden angezeigt.
- Geben Sie unter Regexp diesen Ausdruck ein:
^Received:.*\(version=TLS1 cipher= - Geben Sie unter Regex Description (Regex-Beschreibung) einen beschreibenden Namen ein, z. B. Match TLS 1.0 (TLS 1.0 abgleichen).
- Lassen Sie das Feld Mindestanzahl der Übereinstimmungen leer.
- Klicken Sie unten im Feld Einstellung hinzufügen auf Speichern. Der neue Ausdruck wird in der Tabelle Ausdrücke angezeigt.
Wenn es Übereinstimmungen mit den oben genannten Ausdrücken gibt, gehen Sie so vor: Diese Aktion wird angewendet, wenn einer der oben genannten Ausdrücke übereinstimmt.
- Wählen Sie Nachricht ablehnen aus.
- Geben Sie unter Benutzerdefinierte Ablehnungsmitteilung den Text der Nachricht ein, die Absender erhalten, wenn ihre Nachricht aufgrund der Einstellung abgelehnt wird. Beispiel: Für diesen Server ist TLSv1.1 oder höher erforderlich.
Optionen anzeigen - Klicken Sie auf Optionen einblenden, um weitere Einstellungen aufzurufen.
- Unter B. , wählen Sie Nutzer und Unbekannte/Catchall-Konten aus.
Klicken Sie unten im Dialogfeld Einstellung hinzufügen auf Speichern. Es kann bis zu 24 Stunden dauern, bis Änderungen wirksam werden, aber normalerweise geschieht dies eher. Weitere Informationen Im Audit-Log für die Admin-Konsole können Sie Änderungen im Blick behalten.
E-Mail-Traffic über 3DES-Verbindungen prüfen
Ab Mai 2025 unterstützt Gmail 3DES für eingehende SMTP-Verbindungen nicht mehr. E-Mail-Absender, die 3DES verwenden, können keine E-Mails an Gmail-Konten senden.
Wenn Sie herausfinden möchten, welche Ihrer Absender und welcher E-Mail-Traffic von DES betroffen sind, empfehlen wir Ihnen, Dienstprotokollexporte nach BigQuery einzurichten. Erstellen Sie einen BigQuery-Bericht, in dem Sie sehen, welche TLS-Verschlüsselungsverfahren für sichere Verbindungen zu SMTP-Servern verwendet werden. Sehen Sie im Feld message_info.connection_info.smtp_tls_cipher nach, welche TLS-Verschlüsselungsverfahren für Ihre E‑Mail verwendet wurden. Der Wert, der in diesem Feld angezeigt wird und die Verwendung einer 3DES-Verschlüsselung angibt, ist DES-CBC3-SHA. Obwohl 3DES nicht Teil des Chiffrenamens ist, handelt es sich um eine 3DES-Chiffre.