Algoritmos de cifrado para conexiones SMTP TLS de Gmail

Esta página se actualiza de forma activa y refleja la compatibilidad actual de Gmail con TLS y los algoritmos de cifrado compatibilidad.

Los algoritmos de cifrado son algoritmos que ayudan a proteger las conexiones de red que usan la seguridad de la capa de transporte (TLS). Por lo general, los algoritmos de cifrado son de uno de estos 3 tipos:

  • Algoritmo de intercambio de claves: Intercambia una clave entre dos dispositivos. La clave encripta y desencripta los mensajes que se envían entre los dos dispositivos.
  • Algoritmo de encriptación masiva: Encripta los datos que se envían a través de la conexión TLS.
  • Algoritmo MAC: Verifica que los datos enviados no cambien durante la transmisión.

También hay algoritmos de cifrado que incluyen firmas y que autentican servidores o clientes. Obtén más información sobre Gmail y las conexiones TLS .

Compatibilidad con TLS 1.0, 1.1, 3DES y otras conexiones TLS menos seguras

A partir de mayo de 2025, Gmail ya no admitirá el Triple Data Encryption Standard (3DES) para las negociaciones entrantes. Gmail seguirá admitiendo 3DES para las negociaciones salientes.

Gmail siempre intenta usar las versiones de TLS más recientes y seguras, y no usa versiones menos seguras cuando hay versiones más seguras disponibles. Sin embargo, la entrega SMTP de Gmail admite versiones de TLS menos seguras para la compatibilidad cuando no se admiten o no están disponibles versiones de TLS más seguras. Las versiones de TLS menos seguras que admite Gmail incluyen TLS 1.0, TLS 1.1 y 3DES (solo saliente).

Para evitar que los usuarios maliciosos fuercen las conexiones para usar versiones menos seguras de TLS, las negociaciones de conexión siempre se encriptan.

De manera opcional, puedes agregar un parámetro de configuración de cumplimiento de las normas de contenido en la Consola del administrador de Google para rechazar los mensajes de las conexiones que no usen TLS 1.2 o una versión más reciente. Consulta los pasos detallados más abajo

Algoritmos de cifrado para la negociación de TLS

Los servidores SMTP de Google aceptan estos algoritmos de cifrado para la negociación de la seguridad de la capa de transporte (TLS).

La negociación de TLS también se denomina protocolo de enlace TLS. Durante el protocolo de enlace, las partes que se comunican se reconocen, se verifican y acuerdan los algoritmos de cifrado y las claves de sesión que se usarán.

Esta lista de algoritmos de cifrado para la negociación de TLS se actualizó en mayo de 2025.

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 y TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

Algoritmos de cifrado del servidor saliente

Los servidores salientes de Gmail prefieren estos algoritmos de cifrado.

Gmail le indica al servidor receptor que admite las versiones 1.3, 1.2, 1.1 y 1.0 de TLS. Luego, el servidor receptor determina qué versión de TLS se usa para la conexión.

Google no admite SSLv3.

Esta lista de algoritmos de cifrado del servidor saliente se actualizó en abril de 2020.

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Rechaza las conexiones menos seguras que TLS 1.2

Sigue estos pasos para configurar las conexiones SMTP de Gmail para usar TLS 1.2 o una versión más reciente. Cuando agregas este parámetro de configuración, se rechazan más mensajes entrantes y no se entregan a los destinatarios. Para obtener información detallada sobre el parámetro de configuración de cumplimiento de las normas de contenido, consulta Configura reglas para el filtro avanzado de contenido de los correos electrónicos.

  1. En la Consola del administrador de Google, ve a Menú y luego Apps y luego Google Workspace y luego Gmail y luego Cumplimiento.

    Se debe tener el privilegio de administrador de configuración de Gmail.

  2. (Opcional) A la izquierda, selecciona la organización.
  3. Desplázate hasta el parámetro de configuración Cumplimiento de las normas de contenido en la sección Cumplimiento, coloca el cursor sobre el parámetro y haz clic en Configurar. Si el parámetro de configuración ya está configurado, coloca el cursor sobre él y haz clic en Editar o Agregar otro.

  4. En la casilla Agregar parámetro de configuración, sigue estos pasos:

    Establecer opción ¿Qué hacer?
    En Cumplimiento de las normas de contenido

    Ingresa una descripción para el parámetro de configuración, por ejemplo, Usar siempre TLS 1.2.
    Mensajes de correo electrónico que se verán afectados Selecciona Entrante y Recepción interna.
    Agrega una expresión para rechazar las conexiones TLS 1.0
    1. En o en la tabla Expresiones, haz clic en Agregar. Aparecerá la casilla Agregar parámetro de configuración.
    2. En la parte superior de la casilla, haz clic en el menú y selecciona Coincidencia de contenido avanzada. En Ubicación, selecciona Encabezados completos.
    3. En Tipo de coincidencia, selecciona Coincide con la expresión regular. Aparecerán las opciones de expresión regular.
    4. En Expresión regular, ingresa esta expresión: ^Received:.*\(version=TLS1 cipher=
    5. En Descripción de la expresión regular, ingresa un nombre descriptivo, por ejemplo, Coincidencia de TLS 1.0.
    6. Deja vacío el campo Cantidad mínima de coincidencias.
    7. En la parte inferior de la casilla Agregar parámetro de configuración, haz clic en Guardar. La nueva expresión aparecerá en la tabla Expresiones.
    Si coinciden las expresiones anteriores, realice los siguientes pasos

    Esta acción se aplica si coincide alguna de las expresiones anteriores.

    1. Selecciona Rechazar mensaje.
    2. En Aviso de rechazo personalizado, ingresa el texto del mensaje que reciben los remitentes cuando se rechaza su mensaje debido al parámetro de configuración, por ejemplo: Este servidor requiere TLSv1.1 o una versión más reciente
    Mostrar opciones
    1. Para mostrar más opciones de configuración, haz clic en Mostrar opciones.
    2. En B. Tipos de cuentas que se verán afectadas, selecciona Usuarios y No reconocido/Comodín.

  5. En la parte inferior de la casilla Agregar parámetro de configuración, haz clic en Guardar. Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Obtén más información Puedes supervisar los cambios en el Registro de auditoría de la Consola del administrador.

Verifica el tráfico de correo electrónico enviado a través de conexiones 3DES

A partir de mayo de 2025, Gmail ya no admitirá 3DES para las conexiones SMTP entrantes, y los remitentes de correo electrónico que usen 3DES no podrán entregar correos electrónicos a cuentas de Gmail.

Para determinar cuáles de tus remitentes y qué tráfico de correo electrónico se ven afectados por DES, te recomendamos que configures las exportaciones de registros de servicio a BigQuery. Crea un informe de BigQuery que te indique qué algoritmos de cifrado TLS se usan para las conexiones seguras a los servidores SMTP. Consulta el campo llamado message_info.connection_info.smtp_tls_cipher para ver los algoritmos de cifrado TLS que se usan para tu correo electrónico. El valor que se muestra en este campo que indica el uso de un algoritmo de cifrado 3DES es DES-CBC3-SHA. Aunque 3DES no forma parte del nombre del algoritmo de cifrado, se trata de un algoritmo de cifrado 3DES.