הצפנות לחיבורי SMTP TLS ב-Gmail

אנחנו מעדכנים את התוכן בדף הזה כך שתמיד תמצאו פה את המידע הכי רלוונטי על גרסאות TLS וסוגי ההצפנה שנתמכים ב-Gmail.

הצפנות הן למעשה אלגוריתמים שעוזרים לאבטח את החיבורים לרשת שמתבססים על Transport Layer Security ‏ (TLS). בדרך כלל יש 3 סוגים של הצפנות:

  • אלגוריתם של חילופי מפתח: מאפשר לבצע חילוף של מפתח בין שני מכשירים. המפתח מצפין ומפענח הודעות שנשלחות בין שני המכשירים.
  • אלגוריתם להצפנה של נתונים בכמות גדולה: מאפשר להצפין את הנתונים שנשלחים דרך חיבור TLS.
  • אלגוריתם MAC: מאפשר לאמת שהנתונים שנשלחים לא משתנים במהלך ההעברה.

יש גם הצפנות שכוללות חתימות ושמאמתות שרתים או לקוחות. מידע נוסף על חיבורי TLS ו-Gmail

תמיכה ב-TLS בגרסאות 1.0, ‏1.1, ב-3DES ובחיבורי TLS אחרים שהם פחות מאובטחים

החל ממאי 2025, אין יותר תמיכה בתקן משולש להצפנת נתונים (3DES) ב-Gmail למשא ומתן של הודעות נכנסות. עדיין יש תמיכה ב-3DES ב-Gmail למשא ומתן של הודעות יוצאות.

מערכת Gmail תמיד מנסה להשתמש בגרסאות הכי עדכניות ומאובטחות של TLS, ולא משתמשת בגרסאות פחות מאובטחות כשקיימות גרסאות מאובטחות יותר. עם זאת, כשגרסאות מאובטחות יותר של TLS לא נתמכות או לא זמינות, כדי להבטיח תאימות, שליחה באמצעות פרוטוקול SMTP ב-Gmail תומכת בגרסאות פחות מאובטחות של TLS. גרסאות פחות מאובטחות של TLS שנתמכות ב-Gmail כוללות את TLS 1.0, ‏TLS 1.1 ו-3DES (הודעות יוצאות בלבד).

המשא ומתן על החיבורים תמיד מוצפן כדי שמשתמשים זדוניים לא יוכלו לאלץ שימוש בגרסאות פחות מאובטחות של TLS.

אפשר להוסיף את ההגדרה 'סינון לפי עמידה במדיניות' במסוף Google Admin כדי לדחות הודעות מחיבורים שלא מופעל בהם TLS בגרסה 1.2 או בגרסה מאובטחת יותר. להוראות המפורטות להפעלת ההגדרה הזאת

הצפנות למשא ומתן בפרוטוקול TLS

פירטנו כאן את סוגי ההצפנה הקבילים למשא ומתן בפרוטוקול Transport Layer Security ‏ (TLS) בשרתי SMTP של Google.

משא ומתן בפרוטוקול TLS נקרא גם לחיצת יד בפרוטוקול TLS. במהלך לחיצת היד, הצדדים המתקשרים מזהים ומאמתים זה את זה, וקובעים אילו הצפנות ומפתחות להצפנת פעילות יופעלו.

רשימת ההצפנות למשא ומתן בפרוטוקול TLS עודכנה במאי 2025.

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

‫TLS 1.1 ו-TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

הצפנות לשרתים יוצאים

פירטנו כאן את רשימת סוגי ההצפנה המועדפים בשרתים היוצאים של Gmail.

מערכת Gmail מעדכנת את השרת המקבל שהיא תומכת ב-TLS בגרסאות 1.3, ‏1.2, ‏1.1 ו-1.0. השרת המקבל קובע איזו גרסה של TLS תשמש לצורך החיבור.

‫Google לא תומכת ב-SSLv3.

רשימת ההצפנות לשרתים יוצאים עודכנה באפריל 2020.

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

דחיית חיבורים שהם פחות מאובטחים מ-TLS 1.2

כדי להגדיר שימוש ב-TLS 1.2 או בגרסאות מאובטחות יותר בחיבורי SMTP ב-Gmail, צריך לפעול לפי ההוראות שמפורטות כאן. כשמוסיפים את ההגדרה הזאת, כמות ההודעות הנכנסות שנדחות ולא נשלחות לנמענים גדלה. מידע מפורט לגבי ההגדרה 'סינון לפי עמידה במדיניות', זמין במאמר בנושא הגדרת כללים לסינון תוכן מתקדם בהודעות אימייל.

  1. במסוף Google Admin, נכנסים לתפריט ואז אפליקציותand thenGoogle Workspaceand thenGmailואזתאימות.

    כדי לעשות את זה צריך הרשאות אדמין להגדרות של Gmail.

  2. (אופציונלי) בצד ימין, בוחרים את הארגון.
  3. גוללים להגדרה סינון לפי עמידה במדיניות בקטע 'תאימות', מעבירים את העכבר מעל ההגדרה ולוחצים על הגדרה. אם ההגדרה כבר נקבעה, מעבירים את העכבר מעל ההגדרה ולוחצים על עריכה או על הוספת הגדרות.

  4. בתיבה של הוספת הגדרה, מבצעים את השלבים הבאים:

    אפשרות הגדרה מה לעשות?
    בקטע סינון לפי עמידה במדיניות

    מזינים את התיאור של ההגדרה, לדוגמה, תמיד צריך להשתמש ב-TLS 1.2.
    הודעות האימייל שיושפעו מההגדרה בוחרים באפשרות הודעות נכנסות ופנימיות – קבלה.
    הוספת ביטוי לדחיית חיבורי TLS 1.0
    1. מתחת לטבלה ביטויים, או בתוך הטבלה הזו, לוחצים על הוספה. מופיעה התיבה הוספת הגדרה.
    2. בחלק העליון של התיבה, לוחצים על התפריט ובוחרים באפשרות התאמת תוכן מתקדמת. בקטע מיקום, בוחרים באפשרות כותרות מלאות.
    3. בקטע סוג התאמה, בוחרים באפשרות תואם לביטוי רגולרי (regex). מופיעה האפשרות Regexp.
    4. בקטע Regexp מזינים את הביטוי הבא: ^Received:.*\(version=TLS1 cipher=
    5. בקטע תיאור של ביטוי רגולרי (regex), מזינים שם תיאורי, לדוגמה, התאמה ל-TLS 1.0.
    6. משאירים את השדה מספר מינימלי של התאמות ריק.
    7. בחלק התחתון של התיבה הוספת הגדרה, לוחצים על שמירה. הביטוי החדש מופיע בטבלה ביטויים.
    אם הביטויים שלמעלה תואמים, יש לבצע את הפעולות הבאות

    הפעולה הזו רלוונטית אם מזוהה התאמה לאחד מהביטויים שלמעלה.

    1. בוחרים באפשרות דחיית הודעה.
    2. בקטע התראה בהתאמה אישית לגבי דחייה, מזינים את הטקסט של ההודעה שהשולחים יקבלו כשההודעה שלהם תידחה בעקבות ההגדרה, לדוגמה: השרת הזה מצריך שימוש ב-TLS בגרסה 1.1 ואילך
    הצגת האפשרויות
    1. כדי לראות אפשרויות הגדרה נוספות, לוחצים על הצגת אפשרויות.
    2. בקטע ב. סוגי החשבונות שיושפעו, בוחרים במשתמשים ובלא מזוהה/מסלקת דואר.

  5. בחלק התחתון של התיבה הוספת הגדרה, לוחצים על שמירה. יכול להיות שיחלפו 24 שעות עד שהשינויים ייכנסו לתוקף, אבל בדרך כלל זה קורה מהר יותר. מידע נוסף אפשר לעקוב אחרי השינויים ביומן הביקורת של מסוף Admin.

בדיקה של התנועה באימייל שנשלחה בחיבורי 3DES

החל ממאי 2025, אין יותר תמיכה ב-3DES ב-Gmail לחיבורי SMTP של הודעות נכנסות, ושולחי האימיילים שמשתמשים ב-3DES לא יכולים לשלוח אימיילים לחשבונות Gmail.

כדי לדעת איזו תנועה באימייל ואילו מהשולחים מושפעים מה-DES , אנחנו ממליצים לכם להגדיר תהליכי ייצוא של יומני שירות ל-BigQuery. אתם צריכים ליצור דוח BigQuery שלפיו תוכלו לדעת אילו הצפנות TLS משמשות לחיבורים מאובטחים לשרתי SMTP. בשדה message_info.connection_info.smtp_tls_cipher יופיעו הצפנות ה-TLS שמשמשות לאימיילים. הערך בשדה הזה שמציין שימוש בהצפנת 3DES הוא DES-CBC3-SHA. על אף שהמונח 3DES הוא לא חלק משם ההצפנה, מדובר בהצפנת 3DES.