Cette page fait l'objet d'une maintenance active et reflète la compatibilité actuelle de Gmail avec le protocole TLS et les algorithmes de chiffrement.
Les algorithmes de chiffrement permettent de sécuriser les connexions réseau qui utilisent le protocole TLS (Transport Layer Security). Les codes secrets sont généralement de trois types :
- Algorithme d'échange de clés : échange une clé entre deux appareils. La clé chiffre et déchiffre les messages envoyés entre les deux appareils.
- Algorithme de chiffrement en masse : chiffre les données envoyées via la connexion TLS.
- Algorithme de code d'authentification de message (MAC) : vérifie que les données envoyées ne sont pas modifiées pendant le transfert.
Il existe aussi des algorithmes de chiffrement qui incluent des signatures, ou authentifient les serveurs ou les clients. En savoir plus sur Gmail et les connexions TLS
Compatibilité avec TLS 1.0, 1.1, 3DES et d'autres connexions TLS moins sécurisées
À partir de mai 2025, Gmail ne sera plus compatible avec l'algorithme de chiffrement 3DES (Triple Data Encryption Standard) pour les négociations entrantes. Gmail continue de prendre en charge 3DES pour les négociations sortantes.
Gmail tente toujours d'utiliser les versions TLS les plus récentes et les plus sécurisées, et n'utilise pas les versions moins sécurisées lorsque des versions plus sécurisées sont disponibles. Toutefois, la distribution SMTP Gmail est compatible avec les versions TLS moins sécurisées pour des raisons de compatibilité lorsque les versions TLS plus sécurisées ne sont pas compatibles ou disponibles. Gmail est compatible avec les versions TLS moins sécurisées, telles que TLS 1.0, TLS 1.1 et 3DES (négociations sortantes uniquement).
Pour empêcher les utilisateurs malveillants d'obliger les connexions à utiliser des versions moins sécurisées de TLS, les négociations de connexion sont toujours chiffrées.
Vous pouvez éventuellement ajouter un paramètre de conformité du contenu dans la console d'administration Google pour rejeter les messages provenant de connexions qui n'utilisent pas TLS 1.2 ou une version plus performante. Consultez la procédure détaillée ci-dessous.
Algorithmes de chiffrement pour la négociation TLS
Les serveurs SMTP de Google acceptent les algorithmes de chiffrement ci-dessous pour la négociation TLS (Transport Layer Security).
La négociation TLS est également appelée handshake TLS. La phase de "handshake" permet aux parties qui communiquent entre elles de se reconnaître, de se valider mutuellement et de s'accorder sur les algorithmes de chiffrement et les clés de session qu'elles s'apprêtent à utiliser.
Cette liste d'algorithmes de chiffrement pour la négociation TLS a été mise à jour en mai 2025.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.1 et TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Algorithmes de chiffrement du serveur sortant
Ces algorithmes sont préférés par les serveurs sortants de Gmail.
Gmail indique au serveur de réception qu'il est compatible avec les versions 1.3, 1.2, 1.1 et 1.0 de TLS. Le serveur de réception détermine ensuite la version de TLS utilisée pour la connexion.
Google n'accepte pas la méthode de chiffrement SSLv3.
Cette liste d'algorithmes de chiffrement pour le serveur sortant a été mise à jour en avril 2020.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Rejeter les connexions moins sécurisées que TLS 1.2
Suivez cette procédure pour configurer les connexions SMTP Gmail afin qu'elles utilisent TLS 1.2 ou une version plus performante. Lorsque vous ajoutez ce paramètre, davantage de messages entrants sont rejetés et ne sont pas distribués aux destinataires. Pour en savoir plus sur le paramètre de conformité du contenu, consultez Définir des règles de filtrage avancé du contenu des e-mails.
-
Dans la console d'administration Google, accédez à Menu
ApplicationsGoogle WorkspaceGmailConformité.Vous devez disposer du droit d'administrateur associé aux paramètres Gmail.
- (Facultatif) Sur la gauche, sélectionnez l'organisation.
- Faites défiler la page jusqu'au paramètre Conformité du contenu de la section "Conformité", passez la souris sur le paramètre, puis cliquez sur Configurer. Si le paramètre est déjà configuré, passez la souris dessus, puis cliquez sur Modifier ou En ajouter un autre.
Dans la zone Ajouter un paramètre, suivez cette procédure :
Option de paramètre Que devez-vous faire ? Sous Conformité du contenu Saisissez une description pour le paramètre (par exemple, Toujours utiliser TLS 1.2).
E-mails concernés Sélectionnez Entrants et Interne - réception. Ajouter une expression pour refuser les connexions TLS 1.0 - Sous ou dans le tableau Expressions, cliquez sur Ajouter. La boîte de dialogue Ajouter un paramètre s'affiche.
- En haut de la boîte de dialogue, cliquez sur le menu
, puis sélectionnez Correspondance de contenu avancée. Sous Emplacement, sélectionnez En-têtes complets. - Sous Type de correspondance, sélectionnez Correspond à l'expression régulière. Les options associées à l'expression régulière s'affichent.
- Sous Regexp, saisissez l'expression suivante :
^Received:.*\(version=TLS1 cipher=. - Sous Description de l'expression régulière, saisissez un nom descriptif (par exemple, Correspondance TLS 1.0).
- Laissez le champ Nombre minimal de correspondances vide.
- En bas de la boîte de dialogue Ajouter un paramètre, cliquez sur Enregistrer. La nouvelle expression s'affiche dans le tableau Expressions.
Si les expressions ci-dessus correspondent, procéder comme suit Cette action s'applique si l'une des expressions ci-dessus correspond.
- Sélectionnez Rejeter le message.
- Sous Custom rejection notice (Avis de rejet personnalisé), saisissez le texte du message que les expéditeurs reçoivent lorsque leur message est rejeté en raison du paramètre. Par exemple : Ce serveur nécessite TLS v1.1 ou une version ultérieure.
Afficher les options - Pour afficher d'autres options de paramètres, cliquez sur Afficher les options.
- Sous B. Types de comptes concernés, sélectionnez Utilisateurs et Non reconnu/Collecteur.
Au bas de la boîte de dialogue Ajouter un paramètre, cliquez sur Enregistrer. L'application des modifications peut prendre jusqu'à 24 heures, mais cela va généralement plus vite. En savoir plus Vous pouvez consulter les modifications dans le journal d'audit de la console d'administration.
Vérifier le trafic de messagerie envoyé via des connexions 3DES
À partir de mai 2025, Gmail ne sera plus compatible avec 3DES pour les connexions SMTP entrantes. Les expéditeurs d'e-mails qui utilisent 3DES ne pourront plus distribuer d'e-mails aux comptes Gmail.
Pour déterminer quels expéditeurs et quel trafic de messagerie sont concernés par DES , nous vous recommandons de configurer l'exportation des journaux de service vers BigQuery. Créez un rapport BigQuery qui indique les algorithmes de chiffrement TLS utilisés pour sécuriser les connexions aux serveurs SMTP. Consultez le champ message_info.connection_info.smtp_tls_cipher pour connaître les algorithmes de chiffrement TLS utilisés pour votre e-mail. La valeur affichée dans ce champ qui indique l'utilisation d'un algorithme de chiffrement 3DES est DES-CBC3-SHA. Bien que 3DES ne fasse pas partie du nom de l'algorithme de chiffrement, il s'agit bien d'un algorithme de chiffrement 3DES.