Gmail SMTP TLS 연결의 암호화

이 페이지는 활발하게 유지관리되며 Gmail의 현재 TLS 및 암호 지원을 반영합니다.

암호화는 전송 계층 보안 (TLS)을 사용하여 네트워크 연결 보안을 강화하는 알고리즘입니다. 암호화에는 일반적으로 다음 세 가지 유형이 있습니다.

  • 키 교환 알고리즘: 두 기기 간에 키를 교환합니다. 이 키를 사용하여 두 기기 간에 전송되는 메시지를 암호화하고 복호화합니다.
  • 대량 암호화 알고리즘: TLS 연결을 통해 전송되는 데이터를 암호화합니다.
  • MAC 알고리즘: 전송된 데이터가 전송 중에 변경되지 않았는지 확인합니다.

서명을 포함하는 암호화, 그리고 서버 또는 클라이언트를 인증하는 암호화도 있습니다. Gmail 및 TLS 연결에 대해 자세히 알아보세요.

TLS 1.0, 1.1, 3DES, 기타 보안 수준이 낮은 TLS 연결 지원하기

2025년 5월부터 Gmail에서 인바운드 협상을 위한 트리플 데이터 암호화 표준 (3DES)을 더 이상 지원하지 않습니다. Gmail에서는 아웃바운드 협상을 위한 3DES를 계속 지원합니다.

Gmail은 항상 가장 안전한 최신 TLS 버전을 사용하고자 하며, 더 안전한 버전이 제공되는 경우 보안 수준이 낮은 버전은 사용하지 않습니다. 하지만 Gmail SMTP 전송은 더 안전한 TLS 버전이 지원되지 않거나 사용할 수 없는 경우 호환성을 위해 보안 수준이 낮은 TLS 버전을 지원합니다. Gmail에서 지원하는 보안 수준이 낮은 TLS 버전에는 TLS 1.0, TLS 1.1, 3DES가 포함됩니다 (아웃바운드만 해당).

악의적인 사용자가 보안 수준이 낮은 버전의 TLS를 사용하도록 연결을 강제하는 것을 방지하기 위해 연결 협상은 항상 암호화됩니다.

원하는 경우 Google 관리 콘솔에서 콘텐츠 규정 준수 설정을 추가하여 TLS 1.2 이상을 사용하지 않는 연결의 메일을 거부할 수 있습니다. 아래의 세부 단계로 이동하기

TLS 협상의 암호화

Google의 SMTP 서버는 전송 계층 보안 (TLS) 협상에 다음과 같은 암호화를 허용합니다.

TLS 협상은 TLS 핸드셰이크라고도 합니다. 핸드셰이크 중 통신 상대 간에 서로를 확인 및 인증하고, 사용할 암호화 및 세션 키에 대해 동의합니다.

TLS 협상을 위한 이 암호화 목록은 2025년 5월에 업데이트되었습니다.

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 및 TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

아웃바운드 서버 암호화

이 암호화는 Gmail 발신 서버에서 선호하는 방식입니다.

Gmail에서는 TLS 버전 1.3, 1.2, 1.1, 1.0을 지원한다고 수신 서버에 안내합니다. 그러면 수신 서버에서 연결에 사용되는 TLS 버전을 결정합니다.

Google에서는 SSLv3을 지원하지 않습니다.

발신 서버를 위한 이 암호 목록은 2020년 4월에 업데이트되었습니다.

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

TLS 1.2보다 보안 수준이 낮은 연결 거부하기

TLS 1.2 이상을 사용하도록 Gmail SMTP 연결을 구성하려면 다음 단계를 따르세요. 이 설정을 추가하면 더 많은 수신 메일이 거부되어 수신자에게 전송되지 않습니다. 콘텐츠 규정 준수 설정에 대한 자세한 내용은 고급 이메일 콘텐츠 필터링을 위한 규칙 설정하기를 참고하세요.

  1. Google 관리 콘솔에서 메뉴 다음 앱다음Google Workspace다음Gmail다음규정 준수로 이동합니다.

    Gmail 설정 관리자 권한이 필요합니다.

  2. (선택사항) 왼쪽에서 조직을 선택합니다.
  3. 규정 준수 섹션의 콘텐츠 규정 준수 설정으로 스크롤한 후 설정 위로 마우스를 가져가 구성을 클릭합니다. 설정이 이미 구성된 경우에는 설정 위로 마우스를 가져가 수정 또는 다른 항목 추가를 클릭합니다.

  4. 설정 추가 상자에서 다음 조치를 취합니다.

    설정 옵션 필요한 조치
    콘텐츠 규정 준수

    설정의 설명을 입력합니다(예: 항상 TLS 1.2 사용).
    규칙이 적용되는 메일 수신내부 수신을 선택합니다.
    TLS 1.0 연결을 거부하는 표현식 추가
    1. 표현식 표 아래 또는 표에서 추가를 클릭합니다. 설정 추가 상자가 표시됩니다.
    2. 상자 상단에서 메뉴 를 클릭하고 고급 콘텐츠 일치를 선택합니다. 위치에서 전체 헤더를 선택합니다.
    3. 일치 유형에서 정규식과 일치를 선택합니다. 정규 표현식 옵션이 표시됩니다.
    4. Regexp에 다음 표현식을 입력합니다. ^Received:.*\(version=TLS1 cipher=
    5. 정규 표현식 설명에 설명이 포함된 이름(예: TLS 1.0 일치)을 입력합니다.
    6. 최소 일치 개수 필드는 비워둡니다.
    7. 설정 추가 상자 하단에서 저장을 클릭합니다. 새 표현식이 표현식 표에 표시됩니다.
    위의 표현식이 일치하는 경우 다음을 수행

    이 작업은 위의 표현식 중 하나가 일치하는 경우에 적용됩니다.

    1. 메일 거부를 선택합니다.
    2. 맞춤 거부 알림에서 설정으로 인해 메일이 거부될 때 발신자가 받는 메일의 텍스트를 입력합니다(예: 이 서버에는 TLSv1.1 이상이 필요합니다).
    옵션 표시
    1. 더 많은 설정 옵션을 표시하려면 옵션 표시를 클릭합니다.
    2. B. 적용할 계정 유형에서 사용자인식 안됨/포괄 주소를 선택합니다.

  5. 설정 추가 상자 하단에서 저장을 클릭합니다. 변경사항이 적용되는 데 최대 24시간이 소요될 수 있지만 일반적으로 더 빨리 적용됩니다. 자세히 알아보기 관리 콘솔 감사 로그에서 변경사항을 모니터링할 수 있습니다.

3DES 연결을 통해 전송된 이메일 트래픽 확인하기

2025년 5월부터 Gmail에서 수신 SMTP 연결에 3DES를 더 이상 지원하지 않으며, 3DES를 사용하는 이메일 발신자는 Gmail 계정으로 이메일을 전송할 수 없습니다.

DES의 영향을 받는 발신자와 이메일 트래픽을 확인하려면 BigQuery로 서비스 로그 내보내기를 설정하는 것이 좋습니다. SMTP 서버의 보안 연결에 사용되는 TLS 암호화를 알려주는 BigQuery 보고서를 만듭니다. 이메일에 사용된 TLS 암호화는 message_info.connection_info.smtp_tls_cipher 필드를 확인하세요. 이 필드에 표시되는 3DES 암호화 사용을 나타내는 값은 DES-CBC3-SHA입니다. 3DES는 암호 이름에 포함되지 않지만 이는 3DES 암호입니다.