Diese Seite wird aktiv gepflegt und enthält die aktuelle TLS- und Chiffren Unterstützung von Gmail.
Chiffren sind Algorithmen, die dazu beitragen, Netzwerkverbindungen zu sichern, die Transport Layer Security (TLS) verwenden. Es gibt im Allgemeinen drei Arten von Chiffren:
- Schlüsselaustauschalgorithmus:Dabei wird ein Schlüssel zwischen zwei Geräten ausgetauscht. Mit dem Schlüssel werden Nachrichten verschlüsselt und entschlüsselt, die zwischen den beiden Geräten gesendet werden.
- Bulk-Verschlüsselungsalgorithmus:Damit werden die über die TLS-Verbindung gesendeten Daten verschlüsselt.
- MAC-Algorithmus:Damit wird geprüft, ob gesendete Daten bei der Übertragung unverändert bleiben.
Es gibt auch Verfahren mit Signaturen, bei denen Server oder Clients authentifiziert werden. Weitere Informationen zu Gmail und TLS Verbindungen.
Unterstützung für TLS 1.0, 1.1, 3DES und andere weniger sichere TLS-Verbindungen
Ab Mai 2025 unterstützt Gmail den Triple Data Encryption Standard (3DES) nicht mehr für eingehende Verhandlungen. Gmail unterstützt 3DES weiterhin für ausgehende Verhandlungen.
Gmail versucht immer, die neuesten und sichersten TLS-Versionen zu verwenden, und verwendet keine weniger sicheren Versionen, wenn sicherere Versionen verfügbar sind. Die SMTP-Zustellung in Gmail unterstützt jedoch aus Gründen der Kompatibilität weniger sichere TLS-Versionen, wenn sicherere TLS-Versionen nicht unterstützt werden oder nicht verfügbar sind. Zu den weniger sicheren TLS-Versionen, die von Gmail unterstützt werden, gehören TLS 1.0, TLS 1.1 und 3DES (nur ausgehend).
Um zu verhindern, dass böswillige Nutzer Verbindungen zwingen, weniger sichere TLS-Versionen zu verwenden, werden Verbindungsverhandlungen immer verschlüsselt.
Sie können in Ihrer Admin-Konsole optional eine Einstellung für die Inhaltscompliance hinzufügen, um Nachrichten von Verbindungen abzulehnen, die nicht TLS 1.2 oder höher verwenden. Detaillierte Anleitung
Verschlüsselungsverfahren für die TLS-Verhandlung
Die SMTP-Server von Google akzeptieren diese Verschlüsselungsverfahren für die TLS-Verhandlung.
die auch als TLS-Handshake bezeichnet wird. Während des Handshakes bestätigen und prüfen sich die kommunizierenden Seiten gegenseitig und einigen sich auf die verwendeten Verschlüsselungsverfahren und Sitzungsschlüssel.
Die Liste der Verschlüsselungsverfahren für die TLS-Verhandlung wurde im Mai 2025 aktualisiert.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.1 und TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Verschlüsselungsverfahren für ausgehende Server
Diese Verschlüsselungsverfahren werden von ausgehenden Gmail-Servern bevorzugt.
Gmail teilt dem empfangenden Server mit, dass die TLS-Versionen 1.3, 1.2, 1.1 und 1.0 unterstützt werden. Der empfangende Server bestimmt dann, welche TLS-Version für die Verbindung verwendet wird.
SSLv3 wird von Google nicht unterstützt.
Die Liste der Verschlüsselungsverfahren für ausgehende Server wurde im April 2020 aktualisiert.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Verbindungen ablehnen, die weniger sicher als TLS 1.2 sind
Folgen Sie dieser Anleitung, um Gmail-SMTP-Verbindungen für die Verwendung von TLS 1.2 oder höher zu konfigurieren. Wenn Sie diese Einstellung hinzufügen, werden mehr eingehende Nachrichten abgelehnt und nicht an die Empfänger zugestellt. Weitere Informationen zur Inhalts compliance-Einstellung finden Sie unter Regeln für die erweiterte Filterung von E-Mail-Inhalten einrichten.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü
Apps
Google Workspace
Gmail
Compliance.Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.
- Optional: Wählen Sie links eine Organisation aus.
- Scrollen Sie im Abschnitt „Compliance“ zur Einstellung Inhaltscompliance . Bewegen Sie den Mauszeiger darauf und klicken Sie auf Konfigurieren. Wenn die Einstellung bereits konfiguriert wurde, bewegen Sie den Mauszeiger darauf und klicken Sie auf Bearbeiten oder auf Weitere hinzufügen.
Tun Sie im Feld Einstellung hinzufügen Folgendes:
Einstellungsoption Was muss ich tun? Unter Inhaltscompliance Geben Sie eine Beschreibung für die Einstellung ein, z. B. Immer TLS 1.2 verwenden.
Betroffene E-Mails Wählen Sie Eingehend und Interner Empfang aus. Ausdruck hinzufügen, um TLS 1.0-Verbindungen abzulehnen - Klicken Sie unter oder in der Tabelle Ausdrücke auf Hinzufügen. Das Feld Einstellung hinzufügen wird geöffnet.
- Klicken Sie oben im Feld auf das Dreipunkt-Menü
und wählen Sie Erweiterter Inhaltsabgleich aus. Wählen Sie unter Standort die Option Vollständige Header aus. - Wählen Sie unter Art der Übereinstimmung die Option Stimmt mit dem Regex überein aus. Die Optionen für reguläre Ausdrücke werden angezeigt.
- Geben Sie unter Regexp diesen Ausdruck ein:
^Received:.*\(version=TLS1 cipher= - Geben Sie unter Regex-Beschreibung einen beschreibenden Namen ein, z. B. TLS 1.0 abgleichen.
- Lassen Sie das Feld Mindestanzahl der Übereinstimmungen leer.
- Klicken Sie unten im Feld Einstellung hinzufügen auf Speichern. Der neue Ausdruck wird in der Tabelle Ausdrücke angezeigt.
Wenn es Übereinstimmungen mit den oben genannten Ausdrücken gibt, gehen Sie so vor: Diese Aktion wird angewendet, wenn einer der oben genannten Ausdrücke übereinstimmt.
- Wählen Sie Nachricht ablehnen aus.
- Geben Sie unter Benutzerdefinierte Ablehnungsmitteilung den Text der Nachricht ein, die Absender erhalten, wenn ihre Nachricht aufgrund der Einstellung abgelehnt wird. Beispiel: Für diesen Server ist TLSv1.1 oder höher erforderlich.
Optionen anzeigen - Klicken Sie auf Optionen anzeigen, um weitere Einstellungsoptionen aufzurufen.
- Wählen Sie unter B. Betroffene Kontotypen die Optionen Nutzer und Unbekannte/Catchall-Konten aus.
Klicken Sie unten im Feld Einstellung hinzufügen auf Speichern. Es kann bis zu 24 Stunden dauern, ehe Änderungen wirksam werden – meistens geht es jedoch schneller. Weitere Informationen Im Audit-Log für die Admin-Konsole können Sie die Änderungen überwachen.
E-Mail-Traffic über 3DES-Verbindungen prüfen
Ab Mai 2025 unterstützt Gmail 3DES nicht mehr für eingehende SMTP-Verbindungen. E-Mail-Absender, die 3DES verwenden, können keine E-Mails an Gmail-Konten senden.
Um zu ermitteln, welche Ihrer Absender und welcher E-Mail-Traffic von DES betroffen sind, empfehlen wir, Dienstprotokollexporte nach BigQuery einzurichten. Erstellen Sie einen BigQuery-Bericht, in dem die TLS-Verschlüsselungsverfahren aufgeführt sind, die für sichere Verbindungen zu SMTP-Servern verwendet werden. Prüfen Sie das Feld message_info.connection_info.smtp_tls_cipher auf die TLS-Verschlüsselungsverfahren, die für Ihre E-Mail verwendet werden. Der in diesem Feld angezeigte Wert, der die Verwendung einer 3DES-Chiffre angibt, ist DES-CBC3-SHA. Obwohl 3DES nicht Teil des Chiffrennamens ist, handelt es sich um eine 3DES-Chiffre.