Questa pagina è gestita attivamente e riflette l'attuale supporto di TLS e crittografia di Gmail.
Per algoritmi di crittografia si intendono gli algoritmi che aiutano a proteggere le connessioni di rete che utilizzano lo standard TLS (Transport Layer Security). In genere, gli algoritmi di crittografia sono di tre tipi:
- Algoritmo di scambio chiavi: consente di scambiare una chiave tra due dispositivi. Questa chiave permette di criptare e decriptare i messaggi scambiati tra i due dispositivi.
- Algoritmo di crittografia di massa: consente di criptare i dati inviati tramite la connessione TLS.
- Algoritmo MAC: consente di verificare che i dati inviati non cambino durante il transito.
Esistono anche algoritmi di crittografia che includono firme per l'autenticazione di server o client. Ulteriori informazioni su Gmail e le connessioni TLS.
Supporto di TLS 1.0, 1.1, 3DES e altre connessioni TLS meno sicure
A partire da maggio 2025, Gmail non supporta più Triple Data Encryption Standard (3DES) per le negoziazioni in entrata. Gmail continuerà a supportare 3DES per le negoziazioni in uscita.
Gmail tenta sempre di utilizzare le versioni TLS più recenti e sicure e non utilizza le versioni meno sicure quando sono disponibili versioni più sicure. Tuttavia, l'invio SMTP di Gmail supporta le versioni TLS meno sicure per motivi di compatibilità quando le versioni TLS più sicure non sono supportate o disponibili. Le versioni TLS meno sicure supportate da Gmail includono TLS 1.0, TLS 1.1 e 3DES (solo in uscita).
Per impedire a utenti malintenzionati di forzare le connessioni a utilizzare versioni meno sicure di TLS, le negoziazioni delle connessioni sono sempre criptate.
Se vuoi, puoi aggiungere un'impostazione di conformità dei contenuti nella Console di amministrazione Google per rifiutare i messaggi provenienti da connessioni che non utilizzano TLS 1.2 o versioni successive. Vai alla procedura dettagliata di seguito
Algoritmi di crittografia per la negoziazione TLS
I server SMTP di Google accettano questi sistemi di crittografia per la negoziazione TLS (Transport Layer Security).
La negoziazione TLS è anche detta handshake TLS. Durante l'handshake, le parti comunicanti si riconoscono e si verificano vicendevolmente, oltre a concordare sugli algoritmi di crittografia e sulle chiavi di sessione che utilizzeranno.
Questo elenco di crittografie per la negoziazione TLS è stato aggiornato a maggio 2025.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.1 e TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Algoritmi di crittografia dei server in uscita
Questi algoritmi di crittografia sono quelli preferiti dai server in uscita di Gmail.
Gmail comunica al server di destinazione che supporta le versioni TLS 1.3, 1.2, 1.1 e 1.0. Il server di destinazione determina quindi quale versione di TLS viene utilizzata per la connessione.
Google non supporta SSLv3.
Questo elenco di algoritmi di crittografia dei server in uscita è stato aggiornato ad aprile 2020.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Rifiuta le connessioni meno sicure di TLS 1.2
Segui questi passaggi per configurare le connessioni SMTP di Gmail in modo che utilizzino TLS 1.2 o versione superiore. Quando aggiungi questa impostazione, un maggior numero di messaggi in entrata viene rifiutato e non viene recapitato ai destinatari. Per informazioni dettagliate sull'impostazione della conformità dei contenuti, vedi Configurare regole per il filtro avanzato dei contenuti delle email.
-
Nella Console di amministrazione Google, vai al Menu
AppGoogle WorkspaceGmailConformità.È necessario disporre del privilegio di amministratore Impostazioni di Gmail.
- (Facoltativo) Seleziona l'organizzazione sulla sinistra.
- Scorri fino all'impostazione Conformità dei contenuti nella sezione Conformità. Quindi, passa il mouse sopra l'impostazione e fai clic su Configura. Se è già configurata, passa il mouse sopra l'impostazione e fai clic su Modifica o Aggiungi un'altra.
Nella finestra Aggiungi impostazione, segui questi passaggi:
Opzione impostazione Cosa fare In Conformità dei contenuti Inserisci una descrizione per l'impostazione, ad esempio Utilizza sempre TLS 1.2
Messaggi email interessati Seleziona In entrata e Da mittenti interni. Aggiungi un'espressione per rifiutare le connessioni TLS 1.0 - Nella tabella Espressioni o sotto questa, fai clic su Aggiungi. Viene visualizzata la finestra Aggiungi impostazione.
- Nella parte superiore della finestra, fai clic sul menu
e seleziona Corrispondenza di contenuti avanzata. In Posizione, seleziona Intestazioni complete. - In Tipo di corrispondenza, seleziona Corrisponde alle espressioni regolari. Vengono visualizzate le opzioni Regexp.
- In Regexp, inserisci questa espressione:
^Received:.*\(version=TLS1 cipher= - In Descrizione regex, inserisci un nome descrittivo, ad esempio Corrispondenza TLS 1.0.
- Lascia vuoto il campo Numero di corrispondenze minimo.
- In fondo alla finestra Aggiungi impostazione, fai clic su Salva. La nuova espressione viene visualizzata nella tabella Espressioni.
Se le espressioni sopra riportate corrispondono, procedi nel seguente modo Questa azione si applica se una delle espressioni riportate sopra corrisponde.
- Seleziona Rifiuta messaggio.
- In Notifica di rifiuto personalizzata, inserisci il testo del messaggio che i mittenti ricevono quando il loro messaggio viene rifiutato a causa dell'impostazione, ad esempio: Questo server richiede TLSv1.1 o versioni successive
Mostra opzioni - Per visualizzare altre opzioni di impostazione, fai clic su Mostra opzioni.
- In B. Tipi di account interessati, seleziona Utenti e Non riconosciuto/Catch-all.
In fondo alla finestra Aggiungi impostazione, fai clic su Salva. Le modifiche possono richiedere fino a 24 ore, ma in genere sono più rapide. Scopri di più Puoi monitorare le modifiche nel log di controllo della Console di amministrazione.
Controlla il traffico email inviato tramite connessioni 3DES
A partire da maggio 2025, Gmail non supporta più 3DES per le connessioni SMTP in entrata e i mittenti di email che utilizzano 3DES non possono recapitare le email agli account Gmail.
Per determinare quali mittenti e quale traffico email sono interessati dal DES , ti consigliamo di configurare le esportazioni dei log del servizio in BigQuery. Crea un report BigQuery che ti indichi quali crittografie TLS vengono utilizzate per le connessioni sicure ai server SMTP. Controlla il campo denominato message_info.connection_info.smtp_tls_cipher per le crittografie TLS utilizzate per la tua email. Il valore visualizzato in questo campo che indica l'utilizzo di una crittografia 3DES è DES-CBC3-SHA. Anche se 3DES non fa parte del nome della crittografia, si tratta di una crittografia 3DES.