Gmail の SMTP TLS 接続の暗号

このページは積極的に更新されており、Gmail における TLS と暗号の現在のサポートが反映されています。

暗号は、TLS(Transport Layer Security)を使用するネットワーク接続を保護するアルゴリズムです。暗号は通常、次の 3 つのタイプのいずれかです。

  • 鍵交換アルゴリズム: 2 つのデバイス間で鍵を交換します。この鍵を使用して、2 つのデバイス間で送信されるメッセージを暗号化および復号化します。
  • 一括暗号化アルゴリズム: TLS 接続で送信されたデータを暗号化します。
  • MAC アルゴリズム: 送信データが送信中に変化しないことを検証します。

署名を含む暗号や、サーバーまたはクライアントを認証する暗号もあります。Gmail と TLS 接続について詳しくは、メールの送受信時にセキュリティ プロトコルで保護された(TLS)接続を必須にするをご覧ください。

TLS 1.0、1.1、3DES とその他の安全性の低い TLS 接続のサポート

2025 年 5 月より、Gmail ではインバウンド ネゴシエーションでトリプルデータ暗号化標準(3DES)がサポートされなくなります。Gmail では、アウトバウンド ネゴシエーションで 3DES が引き続きサポートされます。

Gmail では常に、最も安全性の高い最新バージョンの TLS を使用します。より安全性の高いバージョンが利用可能な場合は、安全性の低いバージョンを使用しません。ただし、より安全性の高い TLS バージョンがサポートされていないか、利用できない場合は、互換性を確保するために、Gmail SMTP 配信で安全性の低い TLS バージョンがサポートされます。Gmail でサポートされている安全性の低い TLS バージョンには、TLS 1.0、TLS 1.1、3DES(アウトバウンドのみ)があります。

悪意のあるユーザーが接続での安全性の低い TLS バージョンの使用を強制できないようにするため、接続ネゴシエーションは常に暗号化されます。

必要に応じて、Google 管理コンソールでコンテンツ コンプライアンスの設定を追加し、TLS 1.2 以降を使用していない接続からのメッセージを拒否できます。下記の詳細な手順に進む

TLS ネゴシエーションの暗号

Google の SMTP サーバーは、Transport Layer Security(TLS)ネゴシエーションに以下の暗号を受け入れます。

TLS ネゴシエーションは TLS handshakeとも呼ばれます。ハンドシェイク中に、通信側は相互に確認応答し、相互に検証し、使用する暗号とセッションキーについて合意します。

この TLS ネゴシエーションの暗号のリストは 2025 年 5 月に更新されました。

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 と TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

送信サーバーの暗号

Gmail の送信サーバーでは、下に示す暗号が優先的に使用されます。

Gmail から受信側サーバーには、TLS バージョン 1.3、1.2、1.1、1.0 をサポートしていることを伝えます。これを受けて受信側サーバーでは、接続に使用する TLS バージョンを決定します。

Google では SSLv3 をサポートしていません。

この送信サーバーの暗号のリストは 2020 年 4 月に更新されました。

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

TLS 1.2 より安全性の低い接続を拒否する

TLS 1.2 以降を使用するには、次の手順に沿って Gmail SMTP 接続を設定します。この設定を追加すると、受信されたものの拒否され、宛先に配信されないメールが増加します。コンテンツ コンプライアンスの設定について詳しくは、高度なメール コンテンツ フィルタリングに関するルールの設定をご覧ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [アプリ] 次に [Google Workspace] 次に [Gmail] 次に [コンプライアンス] に移動します。

    アクセスするには Gmail の「設定」管理者権限が必要です。

  2. (省略可)左側で組織を選択します。
  3. [コンプライアンス] の [コンテンツ コンプライアンス] の設定までスクロールしてカーソルを合わせ、[設定] をクリックします。すでに設定されている場合は、[編集] または [他にも追加] をクリックします。

  4. [設定を 追加] ボックスで次の操作を行います。

    設定オプション 手順
    [コンテンツ コンプライアンス] で

    設定の説明を入力します(例: 常に TLS 1.2 を使用)。
    影響を受けるメール [受信] と [内部 - 受信] を選択します。
    TLS 1.0 接続を拒否する式を追加する
    1. [] の表の下または表内で [追加] をクリックすると、[設定を追加] ボックスが表示されます。
    2. ボックスの上部にあるメニュー アイコン をクリックし、[高度なコンテンツ マッチ] を選択します。[場所] で、[完全なヘッダー] を選択します。
    3. [一致タイプ] で、[正規表現に一致する] を選択します。正規表現のオプションが表示されます。
    4. [Regexp] に次のように入力します。^Received:.*\(version=TLS1 cipher=
    5. [正規表現の説明] にわかりやすい名前(「TLS 1.0 と一致」など)を入力します。
    6. [最小一致数] フィールドは空白のままにします。
    7. [設定を追加] ボックスの下部にある [保存] をクリックします。新しい式が [Expressions] テーブルに表示されます。
    上記の表現が一致する場合は、次の処理を行います

    このアクションは、上記のいずれかの式が一致する場合に適用されます。

    1. [メールを拒否] を選択します。
    2. [カスタム拒否通知] で、この設定によりメールが拒否されたときに送信者に表示されるメッセージのテキストを入力します(例: このサーバーでは TLSv1.1 以降が必要です)。
    オプションを表示
    1. その他の設定オプションを表示するには、[オプションを表示] をクリックします。
    2. [B. 影響を受けるアカウントの種類] で、[ユーザー] と [認識できない、キャッチオール] を選択します。

  5. [設定を追加] ボックスの下部にある [保存] をクリックします。 変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細変更履歴は管理コンソールの監査ログで確認できます。

3DES 接続で送信されたメール トラフィックをチェックする

2025 年 5 月より、Gmail では受信 SMTP 接続で 3DES がサポートされなくなります。3DES を使用しているメール送信者は Gmail アカウントにメールを送信できなくなります。

DES の影響を受けている送信者とメール トラフィックを確認するには、BigQuery へのサービスログのエクスポートを設定することをおすすめします。SMTP サーバーへの安全な接続に使用されている TLS 暗号を示す BigQuery レポートを作成します。メールに使用されている TLS 暗号については、message_info.connection_info.smtp_tls_cipher というフィールドを確認します。このフィールドには 3DES 暗号が使用されていることを示す値 DES-CBC3-SHA が表示されています。3DES は暗号名の一部ではありませんが、3DES 暗号です。