Versleuteling voor Gmail SMTP TLS-verbindingen

Deze pagina wordt actief bijgewerkt en geeft de huidige TLS- en cipherondersteuning van Gmail weer.

Cijfers zijn algoritmen die helpen bij het beveiligen van netwerkverbindingen die gebruikmaken van Transport Layer Security (TLS). Cijfers zijn over het algemeen van één van de drie typen:

  • Sleuteluitwisselingsalgoritme: Wisselt een sleutel uit tussen twee apparaten. De sleutel versleutelt en ontsleutelt berichten die tussen de twee apparaten worden verzonden.
  • Algoritme voor bulkversleuteling: Versleutelt de gegevens die via de TLS-verbinding worden verzonden.
  • MAC-algoritme: Controleert of de verzonden gegevens tijdens het transport niet veranderen.

Er bestaan ​​ook versleutelingsmethoden met handtekeningen, waarmee servers of clients worden geverifieerd. Lees meer over Gmail en TLS-verbindingen .

Ondersteuning voor TLS 1.0, 1.1, 3DES en andere minder veilige TLS-verbindingen.

Vanaf mei 2025 biedt Gmail geen ondersteuning meer voor Triple Data Encryption Standard (3DES) voor inkomende onderhandelingen. Gmail blijft 3DES wel ondersteunen voor uitgaande onderhandelingen.

Gmail probeert altijd de nieuwste en veiligste TLS-versies te gebruiken en gebruikt geen minder veilige versies wanneer er veiligere beschikbaar zijn. Gmail SMTP ondersteunt echter wel minder veilige TLS-versies voor compatibiliteit wanneer veiligere TLS-versies niet worden ondersteund of niet beschikbaar zijn. Minder veilige TLS-versies die door Gmail worden ondersteund, zijn onder andere TLS 1.0, TLS 1.1 en 3DES (alleen voor uitgaand verkeer).

Om te voorkomen dat kwaadwillende gebruikers verbindingen forceren om minder veilige versies van TLS te gebruiken, worden verbindingsonderhandelingen altijd versleuteld.

Je kunt optioneel een instelling voor contentconformiteit toevoegen in je Google Admin-console om berichten te weigeren van verbindingen die geen TLS 1.2 of sterker gebruiken. Zie de gedetailleerde stappen hieronder.

Cijfers voor TLS-onderhandeling

De SMTP-servers van Google accepteren deze versleutelingsmethoden voor Transport Layer Security (TLS)-onderhandelingen.

TLS-onderhandeling wordt ook wel TLS- handshake genoemd. Tijdens de handshake bevestigen de communicerende partijen elkaars aanwezigheid, verifiëren ze elkaars identiteit en komen ze overeen welke versleutelingsmethoden en sessiesleutels zullen worden gebruikt.

Deze lijst met versleutelingsmethoden voor TLS-onderhandelingen is in mei 2025 bijgewerkt.

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 en TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

Uitgaande serverversleuteling

Deze versleutelingsmethoden hebben de voorkeur van de uitgaande servers van Gmail.

Gmail laat de ontvangende server weten dat het TLS-versies 1.3, 1.2, 1.1 en 1.0 ondersteunt. De ontvangende server bepaalt vervolgens welke TLS-versie voor de verbinding wordt gebruikt.

Google biedt geen ondersteuning voor SSLv3.

Deze lijst met uitgaande serverversleutelingen is in april 2020 bijgewerkt.

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Verbindingen die minder veilig zijn dan TLS 1.2 worden geweigerd.

Volg deze stappen om Gmail SMTP-verbindingen te configureren voor gebruik met TLS 1.2 of hoger. Wanneer u deze instelling toevoegt, worden meer inkomende berichten geweigerd en niet aan de ontvangers bezorgd. Ga voor meer informatie over de instelling voor inhoudsconformiteit naar Regels instellen voor geavanceerde e-mailinhoudfiltering .

  1. Ga in de Google Admin-console naar Menu. en dan Apps en dan Google Werkruimte en dan Gmail en dan Naleving .

    Hiervoor is beheerdersrechten voor de Gmail-instellingen vereist.

  2. (Optioneel) Selecteer aan de linkerkant de organisatie.
  3. Scrol in het gedeelte 'Naleving' naar de instelling 'Contentconformiteit' , beweeg de muis over de instelling en klik op 'Configureren' . Als de instelling al is geconfigureerd, beweeg de muis over de instelling en klik op 'Bewerken' of 'Nog een toevoegen '.

  4. Volg deze stappen in het venster 'Instelling toevoegen' :

    Instellingsoptie Wat te doen
    Onder inhoudsnaleving

    Voer een beschrijving in voor de instelling, bijvoorbeeld: Altijd TLS 1.2 gebruiken.

    E-mailberichten die van invloed zijn Selecteer Inkomend en Intern ontvangen .
    Voeg een expressie toe om TLS 1.0-verbindingen te weigeren.
    1. Klik onder of in de tabel 'Expressies' op 'Toevoegen' . Het venster ' Instellingen toevoegen' verschijnt.
    2. Klik bovenaan in het venster op het menu. en selecteer Geavanceerde inhoudsovereenkomst . Selecteer onder Locatie de optie Volledige kopteksten .
    3. Selecteer onder 'Match type' de optie 'Matchs regex' . De opties voor reguliere expressies verschijnen.
    4. Voer onder Regexp de volgende expressie in: ^Received:.*\(version=TLS1 cipher=
    5. Voer bij Regex Description een beschrijvende naam in, bijvoorbeeld Match TLS 1.0 .
    6. Laat het veld ' Minimum aantal overeenkomsten ' leeg.
    7. Klik onderaan in het venster 'Instelling toevoegen' op 'Opslaan '. De nieuwe expressie verschijnt in de tabel 'Expressies' .
    Als de bovenstaande uitdrukkingen overeenkomen, doe dan het volgende.

    Deze actie wordt uitgevoerd als een van de bovenstaande uitdrukkingen overeenkomt.

    1. Selecteer 'Bericht afwijzen' .
    2. Voer onder ' Aangepaste afwijzingsmelding' de tekst in van het bericht dat afzenders ontvangen wanneer hun bericht wordt afgewezen vanwege de instelling, bijvoorbeeld: Deze server vereist TLSv1.1 of hoger.
    Opties weergeven
    1. Om meer instellingsopties weer te geven, klikt u op Opties weergeven .
    2. Selecteer onder B. Accounttypen die van invloed zijn , Gebruikers en Niet-herkend/Vang-alles .

  5. Voeg de instelling onderaan toe in het vak 'Instelling toevoegen' en klik op 'Opslaan' . Het kan tot 24 uur duren voordat de wijzigingen zijn doorgevoerd, maar meestal gebeurt dit sneller. Meer informatie. U kunt de wijzigingen volgen in het auditlogboek van de beheerdersconsole .

Controleer het e-mailverkeer dat via 3DES-verbindingen wordt verzonden.

Vanaf mei 2025 biedt Gmail geen ondersteuning meer voor 3DES voor inkomende SMTP-verbindingen, en e-mailverzenders die 3DES gebruiken, kunnen geen e-mails meer afleveren aan Gmail-accounts.

Om te bepalen welke van uw afzenders en welk e-mailverkeer door DES wordt beïnvloed, raden we u aan servicelogboekexporten naar BigQuery in te stellen . Maak een BigQuery-rapport dat aangeeft welke TLS-cijfers worden gebruikt voor beveiligde verbindingen met SMTP-servers. Controleer het veld message_info.connection_info.smtp_tls_cipher voor de TLS-cijfers die voor uw e-mail worden gebruikt. De waarde in dit veld die aangeeft dat een 3DES-cijfer wordt gebruikt, is DES-CBC3-SHA . Hoewel 3DES geen deel uitmaakt van de cijfernaam, is dit wel degelijk een 3DES-cijfer.