رمزهای مربوط به اتصالات SMTP TLS جیمیل

این صفحه به طور فعال نگهداری می‌شود و پشتیبانی فعلی Gmail از TLS و رمزنگاری را نشان می‌دهد.

رمزها الگوریتم‌هایی هستند که به ایمن‌سازی اتصالات شبکه‌ای که از امنیت لایه انتقال (TLS) استفاده می‌کنند، کمک می‌کنند. رمزها معمولاً یکی از ۳ نوع زیر هستند:

  • الگوریتم تبادل کلید: یک کلید را بین دو دستگاه رد و بدل می‌کند. این کلید، پیام‌های ارسالی بین دو دستگاه را رمزگذاری و رمزگشایی می‌کند.
  • الگوریتم رمزگذاری انبوه: داده‌های ارسالی از طریق اتصال TLS را رمزگذاری می‌کند.
  • الگوریتم MAC: تأیید می‌کند که داده‌های ارسالی در حین انتقال تغییر نمی‌کنند.

همچنین رمزهایی وجود دارند که شامل امضاها هستند و سرورها یا کلاینت‌ها را تأیید می‌کنند. درباره اتصالات Gmail و TLS بیشتر بدانید.

پشتیبانی از TLS 1.0، 1.1، 3DES و سایر اتصالات TLS با امنیت کمتر

از ماه مه ۲۰۲۵، جیمیل دیگر از استاندارد رمزگذاری سه‌گانه داده‌ها (3DES) برای مذاکرات ورودی پشتیبانی نمی‌کند. جیمیل همچنان از 3DES برای مذاکرات خروجی پشتیبانی می‌کند.

جیمیل همیشه تلاش می‌کند از جدیدترین و امن‌ترین نسخه‌های TLS استفاده کند و در صورت وجود نسخه‌های امن‌تر، از نسخه‌های کم‌خطرتر استفاده نمی‌کند. با این حال، تحویل SMTP جیمیل از نسخه‌های کم‌خطرتر TLS برای سازگاری پشتیبانی می‌کند، زمانی که نسخه‌های امن‌تر TLS پشتیبانی نمی‌شوند یا در دسترس نیستند. نسخه‌های کم‌خطرتر TLS که توسط جیمیل پشتیبانی می‌شوند عبارتند از TLS 1.0، TLS 1.1 و 3DES (فقط خروجی).

برای جلوگیری از مجبور کردن کاربران مخرب به استفاده از نسخه‌های کم‌خطرتر TLS برای اتصال، مذاکرات اتصال همیشه رمزگذاری می‌شوند.

شما می‌توانید به صورت اختیاری تنظیمات مربوط به انطباق محتوا را در کنسول گوگل ادمین خود اضافه کنید تا پیام‌های دریافتی از اتصالاتی که از TLS 1.2 یا قوی‌تر استفاده نمی‌کنند را رد کنید. به مراحل دقیق زیر بروید.

رمزهای عبور برای مذاکره TLS

سرورهای SMTP گوگل این رمزها را برای مذاکره در مورد امنیت لایه انتقال (TLS) می‌پذیرند.

مذاکره TLS، دست‌دهی TLS نیز نامیده می‌شود. در طول دست‌دهی، طرفین ارتباط، یکدیگر را تصدیق، تأیید و در مورد رمزها و کلیدهای جلسه‌ای که استفاده خواهند شد، توافق می‌کنند.

این فهرست رمزهای مربوط به مذاکره TLS در ماه مه ۲۰۲۵ به‌روزرسانی شد.

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 و TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

رمزهای سرور خروجی

این رمزها توسط سرورهای خروجی Gmail ترجیح داده می‌شوند.

جیمیل به سرور گیرنده اعلام می‌کند که از نسخه‌های ۱.۳، ۱.۲، ۱.۱ و ۱.۰ پروتکل TLS پشتیبانی می‌کند. سپس سرور گیرنده تعیین می‌کند که از کدام نسخه TLS برای اتصال استفاده شود.

گوگل از SSLv3 پشتیبانی نمی‌کند.

این فهرست از رمزهای سرور خروجی در آوریل ۲۰۲۰ به‌روزرسانی شده است.

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

رد کردن اتصالات با امنیت کمتر از TLS 1.2

برای پیکربندی اتصالات SMTP جیمیل برای استفاده از TLS 1.2 یا قوی‌تر، این مراحل را دنبال کنید. وقتی این تنظیم را اضافه می‌کنید، پیام‌های ورودی بیشتری رد می‌شوند و به گیرندگان تحویل داده نمی‌شوند. برای اطلاعات دقیق در مورد تنظیم انطباق محتوا، به بخش «تنظیم قوانین برای فیلترینگ پیشرفته محتوای ایمیل» مراجعه کنید.

  1. در کنسول مدیریت گوگل، به منو بروید و سپس برنامه‌ها و سپس فضای کاری گوگل و سپس جیمیل و سپس انطباق .

    نیاز به داشتن امتیاز مدیر تنظیمات Gmail دارد.

  2. (اختیاری) در سمت چپ، سازمان را انتخاب کنید.
  3. در بخش Compliance به تنظیمات Content compliance بروید، نشانگر ماوس را روی تنظیمات نگه دارید و روی Configure کلیک کنید. اگر تنظیمات از قبل پیکربندی شده است، نشانگر ماوس را روی تنظیمات نگه دارید و روی Edit یا Add another کلیک کنید.

  4. در کادر افزودن تنظیمات ، این مراحل را دنبال کنید:

    گزینه تنظیم چه باید کرد؟
    تحت انطباق محتوا

    برای این تنظیم، توضیحی وارد کنید، مثلاً همیشه از TLS 1.2 استفاده کنید.

    پیام‌های ایمیل برای تأثیرگذاری گزینه‌های ورودی و دریافت داخلی را انتخاب کنید.
    اضافه کردن عبارت برای رد کردن اتصالات TLS 1.0
    1. در زیر یا داخل جدول Expressions ، روی Add کلیک کنید. کادر تنظیمات Add ظاهر می‌شود.
    2. در بالای کادر، روی منو کلیک کنید و تطابق محتوای پیشرفته را انتخاب کنید. در قسمت مکان ، هدرهای کامل را انتخاب کنید.
    3. در قسمت Match type ، گزینه Matches regex را انتخاب کنید. گزینه‌های Regexp ظاهر می‌شوند.
    4. در زیر عبارت Regexp ، این عبارت را وارد کنید: ^Received:.*\(version=TLS1 cipher=
    5. در قسمت توضیحات Regex ، یک نام توصیفی وارد کنید، برای مثال Match TLS 1.0 .
    6. فیلد «حداقل تعداد تطابق» را خالی بگذارید.
    7. در پایین کادر تنظیمات افزودن ، روی ذخیره کلیک کنید. عبارت جدید در جدول عبارات ظاهر می‌شود.
    اگر عبارات بالا مطابقت داشتند، موارد زیر را انجام دهید

    این عمل در صورتی اعمال می‌شود که هر یک از عبارات فوق مطابقت داشته باشند.

    1. رد کردن پیام را انتخاب کنید.
    2. در قسمت «اعلان رد سفارشی» ، متن پیامی را که فرستندگان هنگام رد شدن پیامشان به دلیل تنظیمات دریافت می‌کنند، وارد کنید، برای مثال: این سرور به TLSv1.1 یا بالاتر نیاز دارد.
    نمایش گزینه‌ها
    1. برای نمایش گزینه‌های تنظیمات بیشتر، روی «نمایش گزینه‌ها» کلیک کنید.
    2. در قسمت «B. Account types to affect» ، گزینه «Users» و «Unrecognized/Catch-all» را انتخاب کنید.

  5. در پایین کادر افزودن تنظیمات ، روی ذخیره کلیک کنید. تغییرات می‌توانند تا ۲۴ ساعت طول بکشند، اما معمولاً سریع‌تر اتفاق می‌افتند. اطلاعات بیشتر می‌توانید تغییرات را در گزارش حسابرسی کنسول مدیریت مشاهده کنید.

بررسی ترافیک ایمیل ارسال شده از طریق اتصالات 3DES

از ماه مه ۲۰۲۵، جیمیل دیگر از ۳DES برای اتصالات SMTP ورودی پشتیبانی نمی‌کند و فرستندگان ایمیل که از ۳DES استفاده می‌کنند نمی‌توانند ایمیل را به حساب‌های جیمیل ارسال کنند.

برای تعیین اینکه کدام یک از فرستندگان شما و چه ترافیک ایمیلی تحت تأثیر DES قرار دارد، توصیه می‌کنیم صادرات گزارش سرویس را به BigQuery تنظیم کنید . یک گزارش BigQuery ایجاد کنید که به شما بگوید کدام رمزهای TLS برای اتصالات امن به سرورهای SMTP استفاده می‌شوند. فیلد message_info.connection_info.smtp_tls_cipher را برای رمزهای TLS مورد استفاده برای ایمیل خود بررسی کنید. مقداری که در این فیلد نمایش داده می‌شود و نشان دهنده استفاده از رمز 3DES است، DES-CBC3-SHA است. اگرچه 3DES بخشی از نام رمز نیست، اما یک رمز 3DES است.