Mechanizmy szyfrowania połączeń SMTP korzystających z protokołu TLS w Gmailu

Ta strona jest stale aktualizowana i odzwierciedla aktualną obsługę protokołu TLS i mechanizmów szyfrowania w Gmailu.

Mechanizmy szyfrowania to algorytmy, które pomagają zabezpieczyć połączenia sieciowe korzystające z protokołu TLS. Mechanizmy szyfrowania można podzielić na trzy rodzaje:

  • Algorytm wymiany klucza: umożliwia wymianę klucza między dwoma urządzeniami. Klucz szyfruje i odszyfrowuje wiadomości wysyłane między dwoma urządzeniami.
  • Algorytm szyfrowania zbiorczego: szyfruje dane wysyłane przez połączenie TLS.
  • Algorytm MAC: sprawdza, czy wysyłane dane nie zmieniają się podczas przesyłania.

Istnieją też szyfry, które zawierają podpisy i uwierzytelniają serwery lub klientów. Dowiedz się więcej o Gmailu i połączeniach TLS.

Obsługa TLS 1.0, 1.1, 3DES i innych mniej bezpiecznych połączeń TLS

Od maja 2025 r. Gmail nie będzie już obsługiwać algorytmu Triple Data Encryption Standard (3DES) w przypadku negocjacji poczty przychodzącej. Gmail nadal obsługuje mechanizm szyfrowania 3DES w przypadku negocjacji poczty wychodzącej.

Gmail zawsze próbuje używać najnowszych i najbezpieczniejszych wersji protokołu TLS i nie używa mniej bezpiecznych wersji, gdy dostępne są bezpieczniejsze. Ze względu na zgodność Gmail obsługuje jednak przesyłanie przy użyciu SMTP z mniej bezpiecznymi wersjami protokołu TLS, gdy bezpieczniejsze wersje nie są obsługiwane lub nie są dostępne. Mniej bezpieczne wersje protokołu TLS obsługiwane przez Gmaila to TLS 1.0, TLS 1.1 i mechanizmy szyfrowania 3DES (tylko poczta wychodząca).

Aby zapobiec wymuszaniu przez hakerów stosowania mniej bezpiecznych wersji protokołu TLS w połączeniach, negocjowanie połączeń jest zawsze szyfrowane.

Opcjonalnie możesz dodać w konsoli administracyjnej Google ustawienie zgodności treści, aby odrzucać wiadomości z połączeń, które nie korzystają z protokołu TLS 1.2 lub z bezpieczniejszej wersji. Przejdź do szczegółowych instrukcji poniżej

Mechanizmy szyfrowania negocjacji TLS

Serwery SMTP Google akceptują mechanizmy szyfrowania negocjacji protokołu TLS (Transport Layer Security).

Negocjacje TLS są też nazywane uzgadnianiem połączenia TLS. Podczas tego procesu strony komunikują się ze sobą, weryfikują się wzajemnie i uzgadniają mechanizmy szyfrowania oraz klucze sesji.

Ta lista mechanizmów szyfrowania negocjacji TLS została zaktualizowana w maju 2025 r.

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 i TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

Mechanizmy szyfrowania serwera poczty wychodzącej

Te szyfry są preferowane przez serwery poczty wychodzącej Gmaila.

Gmail informuje serwer odbierający, że obsługuje protokół TLS w wersjach 1.3, 1.2, 1.1 i 1.0. Serwer odbierający określa, która wersja TLS będzie używana w ramach połączenia.

Google nie obsługuje protokołu SSLv3.

Ta lista mechanizmów szyfrowania serwera poczty wychodzącej została zaktualizowana w kwietniu 2020 roku.

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Odrzucanie połączeń mniej bezpiecznych niż TLS 1.2

Aby skonfigurować połączenia SMTP Gmaila, tak aby korzystały z protokołu TLS 1.2 lub bezpieczniejszej wersji, wykonaj te czynności: Gdy dodasz to ustawienie, więcej wiadomości przychodzących będzie odrzucanych i nie będzie dostarczanych do odbiorców. Szczegółowe informacje o ustawieniu zgodności treści znajdziesz w artykule Konfigurowanie reguł zaawansowanego filtrowania treści e-maili.

  1. W konsoli administracyjnej Google otwórz Menu a potem Aplikacjea potem Google Workspacea potem Gmaila potem Zgodność z przepisami.

    Wymaga uprawnień administratora Ustawienia Gmaila.

  2. (Opcjonalnie) Po lewej stronie wybierz organizację.
  3. Przewiń stronę do sekcji Zgodność, najedź kursorem na ustawienie Zgodność treści i kliknij Skonfiguruj. Jeśli ustawienie jest już skonfigurowane, najedź na nie kursorem i kliknij Edytuj lub Dodaj inne.

  4. W oknie Dodaj ustawienie wykonaj te czynności:

    Opcja ustawienia Co zrobić
    W sekcji Zgodność treści

    Wpisz opis ustawienia, np. Zawsze używaj TLS 1.2.
    E-maile objęte działaniem reguły Wybierz Przychodzące i Wewnętrzne – odbieranie.
    Dodawanie wyrażenia odrzucającego połączenia TLS 1.0
    1. W tabeli Wyrażenia lub pod nią kliknij Dodaj. Pojawi się pole Dodaj ustawienie.
    2. U góry pola kliknij menu  i wybierz Zaawansowane dopasowanie zawartości. W sekcji Lokalizacja wybierz Pełne nagłówki.
    3. W sekcji Typ dopasowania wybierz Pasuje do wyrażenia regularnego. Pojawią się opcje wyrażeń regularnych.
    4. W sekcji Regexp wpisz to wyrażenie: ^Received:.*\(version=TLS1 cipher=
    5. W sekcji Opis wyrażenia regularnego wpisz opisową nazwę, np. Dopasuj TLS 1.0.
    6. Pole Minimalna liczba zgodnych pozycji pozostaw puste.
    7. U dołu okna Dodawanie ustawienia kliknij Zapisz. Nowe wyrażenie pojawi się w tabeli Wyrażenia.
    Jeśli opisane wyrażenia pasują do siebie, wykonaj te czynności

    To działanie jest stosowane, gdy pasuje jedno z wyżej wskazanych wyrażeń.

    1. Wybierz Odrzuć wiadomość.
    2. W sekcji Niestandardowy komunikat o odrzuceniu wpisz tekst komunikatu, który nadawcy otrzymują, gdy ich wiadomość zostanie odrzucona z powodu ustawienia. Może to być na przykład: Ten serwer wymaga protokołu TLS w wersji 1.1 lub nowszej.
    Pokaż opcje
    1. Aby wyświetlić więcej opcji ustawień, kliknij Pokaż opcje.
    2. W ramach sekcji B. Objęte typy kont wybierz Użytkownicy i Nierozpoznane/Catch-all.

  5. U dołu okna Dodaj ustawienie kliknij Zapisz. Zastosowanie zmian może potrwać do 24 godzin, ale zwykle dzieje się to znacznie szybciej. Więcej informacji Zmiany możesz śledzić w Dzienniku kontrolnym konsoli administracyjnej.

Sprawdzanie ruchu e-mail wysyłanego przez połączenia 3DES

Od maja 2025 r. Gmail nie będzie już obsługiwać mechanizmu szyfrowania 3DES w przypadku połączeń przychodzących SMTP, a nadawcy e-maili korzystający z tego mechanizmu nie będą mogli dostarczać wiadomości na konta Gmail.

Aby określić, w przypadku których nadawców i jakiego ruchu poczty e-mail stosowany jest algorytm DES, zalecamy skonfigurowanie eksportów dzienników usług do BigQuery. Utwórz raport BigQuery zawierający informacje, które mechanizmy szyfrowania protokołu TLS są używane do bezpiecznych połączeń z serwerami SMTP. Sprawdź pole message_info.connection_info.smtp_tls_cipher, aby dowiedzieć się, jakie mechanizmy szyfrowania protokołu TLS są używane do wysyłania e-maili. Wartość wyświetlana w tym polu, która wskazuje na użycie mechanizmu szyfrowania 3DES, to DES-CBC3-SHA. Jest to mechanizm szyfrowania 3DES, chociaż 3DES nie jest częścią nazwy tego mechanizmu.