Esta página se mantiene de forma activa y refleja la compatibilidad actual de Gmail con TLS y algoritmos de cifrado.
Las cifras son algoritmos que ayudan a proteger las conexiones de red que usan la seguridad de la capa de transporte (TLS). Por lo general, las cifras pertenecen a uno de los siguientes 3 tipos:
- Algoritmo de intercambio de claves: Intercambia una clave entre dos dispositivos. La clave encripta y desencripta los mensajes que se envían entre los dos dispositivos.
- Algoritmo de encriptación masiva: Encripta los datos que se envían a través de la conexión TLS.
- Algoritmo de MAC: Verifica que los datos enviados no cambien durante el tránsito.
También hay algoritmos de cifrado que incluyen firmas y que autentican servidores o clientes. Obtén más información sobre Gmail y las conexiones TLS.
Compatibilidad con TLS 1.0, 1.1, 3DES y otras conexiones TLS menos seguras
A partir de mayo de 2025, Gmail ya no admitirá el Triple Data Encryption Standard (3DES) para las negociaciones entrantes. Gmail seguirá admitiendo 3DES para las negociaciones salientes.
Gmail siempre intenta usar las versiones de TLS más recientes y seguras, y no usa versiones menos seguras cuando hay versiones más seguras disponibles. Sin embargo, la entrega de SMTP de Gmail admite versiones de TLS menos seguras para la compatibilidad cuando no se admiten o no están disponibles versiones de TLS más seguras. Las versiones de TLS menos seguras que admite Gmail incluyen TLS 1.0, TLS 1.1 y 3DES (solo para el tráfico saliente).
Para evitar que los usuarios maliciosos fuercen las conexiones a usar versiones menos seguras de TLS, las negociaciones de conexión siempre se encriptan.
De manera opcional, puedes agregar un parámetro de configuración de cumplimiento del contenido en la Consola del administrador de Google para rechazar los mensajes de las conexiones que no usen TLS 1.2 o una versión más reciente. Ir a los pasos detallados a continuación
Algoritmos de cifrado para la negociación de TLS
Los servidores SMTP de Google aceptan estos algoritmos de cifrado para la negociación de la seguridad de la capa de transporte (TLS).
La negociación de TLS también se denomina protocolo de enlace de TLS. Durante el protocolo de enlace, las partes que se comunican se reconocen y verifican mutuamente, y acuerdan las claves de sesión y los algoritmos de cifrado que se usarán.
Esta lista de algoritmos de cifrado para la negociación de TLS se actualizó en mayo de 2025.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.1 y TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Cifrados del servidor de salida
Los servidores salientes de Gmail prefieren estos algoritmos de cifrado.
Gmail le indica al servidor receptor que admite las versiones 1.3, 1.2, 1.1 y 1.0 de TLS. Luego, el servidor receptor determina qué versión de TLS se usa para la conexión.
Google no admite SSLv3.
Esta lista de algoritmos de cifrado de servidores salientes se actualizó en abril de 2020.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Rechaza las conexiones menos seguras que TLS 1.2
Sigue estos pasos para configurar las conexiones SMTP de Gmail para que usen TLS 1.2 o una versión más reciente. Cuando agregas este parámetro de configuración, se rechazan más mensajes entrantes y no se entregan a los destinatarios. Para obtener información detallada sobre el parámetro de configuración de cumplimiento del contenido, consulta Configura reglas para el filtro avanzado de contenido de los correos electrónicos.
-
En la Consola del administrador de Google, ve a Menú
AppsGoogle WorkspaceGmailCumplimiento.Es necesario tener el privilegio de administrador de configuración de Gmail.
- (Opcional) A la izquierda, selecciona la organización.
- Desplázate hasta el parámetro de configuración Cumplimiento de las normas de contenido en la sección Cumplimiento, coloca el cursor sobre el parámetro de configuración y haz clic en Configurar. Si el parámetro de configuración ya está configurado, coloca el cursor sobre él y haz clic en Editar o Agregar otro.
En el cuadro Agregar parámetro de configuración, sigue estos pasos:
Opción de configuración Qué hacer En Cumplimiento del contenido Ingresa una descripción para el parámetro de configuración, por ejemplo, Usar siempre TLS 1.2.
Mensajes de correo electrónico que se verán afectados Selecciona Entrantes y Internos: Recibidos. Agrega una expresión para rechazar las conexiones TLS 1.0 - En la tabla Expresiones, haz clic en Agregar. Aparecerá el cuadro de parámetro de configuración Agregar.
- En la parte superior del cuadro, haz clic en el menú
y selecciona Coincidencia de contenido avanzada. En Ubicación, selecciona Encabezados completos. - En Tipo de concordancia, selecciona Coincide con la regex. Aparecerán las opciones de Regexp.
- En Regexp, ingresa esta expresión:
^Received:.*\(version=TLS1 cipher= - En Descripción de la expresión regular, ingresa un nombre descriptivo, por ejemplo, Coincide con TLS 1.0.
- Deja vacío el campo Cantidad mínima de coincidencias.
- En la parte inferior del cuadro Agregar parámetro de configuración, haz clic en Guardar. La expresión nueva aparecerá en la tabla Expresiones.
Si las expresiones anteriores coinciden, haz lo siguiente Esta acción se aplica si coincide alguna de las expresiones anteriores.
- Selecciona Rechazar el mensaje.
- En Aviso de rechazo personalizado, ingresa el texto del mensaje que reciben los remitentes cuando se rechaza su mensaje debido al parámetro de configuración, por ejemplo: Este servidor requiere TLSv1.1 o una versión posterior.
Mostrar opciones - Para mostrar más opciones de configuración, haz clic en Mostrar opciones.
- En B. Tipos de cuentas que se verán afectadas, selecciona Usuarios y Desconocida/genérica.
En la parte inferior del cuadro Agregar parámetro de configuración, haz clic en Guardar. Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información Puedes supervisar los cambios en el registro de auditoría de la Consola del administrador.
Cómo verificar el tráfico de correo electrónico enviado a través de conexiones 3DES
A partir de mayo de 2025, Gmail dejará de admitir 3DES para las conexiones SMTP entrantes, y los remitentes de correos electrónicos que usen 3DES no podrán entregar correos electrónicos a las cuentas de Gmail.
Para determinar cuáles de tus remitentes y qué tráfico de correo electrónico se ven afectados por el DES , te recomendamos que configures las exportaciones de registros del servicio a BigQuery. Crea un informe de BigQuery que te indique qué algoritmos de cifrado de TLS se usan para las conexiones seguras a los servidores SMTP. Verifica el campo llamado message_info.connection_info.smtp_tls_cipher para conocer los algoritmos de cifrado TLS que se usaron en tu correo electrónico. El valor que se muestra en este campo y que indica el uso de un algoritmo de cifrado 3DES es DES-CBC3-SHA. Aunque 3DES no forma parte del nombre del algoritmo de cifrado, se trata de un algoritmo de cifrado 3DES.