Шифры для SMTP TLS-соединений Gmail

Эта страница активно поддерживается и отражает текущие возможности Gmail в области TLS и шифрования.

Шифры — это алгоритмы, которые помогают защитить сетевые соединения, использующие протокол Transport Layer Security (TLS). Шифры, как правило, делятся на 3 типа:

  • Алгоритм обмена ключами: происходит обмен ключом между двумя устройствами. Этот ключ шифрует и расшифровывает сообщения, передаваемые между двумя устройствами.
  • Алгоритм пакетного шифрования: шифрует данные, передаваемые по TLS-соединению.
  • Алгоритм MAC: Проверяет, что отправляемые данные не изменяются во время передачи.

Существуют также шифры, включающие подписи и используемые для аутентификации серверов или клиентов. Узнайте больше о Gmail и TLS-соединениях .

Поддержка TLS 1.0, 1.1, 3DES и других менее защищенных TLS-соединений.

Начиная с мая 2025 года, Gmail больше не поддерживает Triple Data Encryption Standard (3DES) для входящих запросов. Gmail продолжает поддерживать 3DES для исходящих запросов.

Gmail всегда стремится использовать самые последние и безопасные версии TLS и не использует менее безопасные версии, если доступны более безопасные. Однако, для обеспечения совместимости, в случаях, когда более безопасные версии TLS не поддерживаются или недоступны, Gmail поддерживает менее безопасные версии TLS. К менее безопасным версиям TLS, поддерживаемым Gmail, относятся TLS 1.0, TLS 1.1 и 3DES (только для исходящих соединений).

Чтобы предотвратить попытки злоумышленников принудительно использовать менее безопасные версии TLS в процессе установления соединения, переговоры всегда ведутся в зашифрованном виде.

При желании вы можете добавить в консоль администратора Google параметр соответствия контента, чтобы отклонять сообщения от подключений, которые не используют TLS 1.2 или более высокий уровень. Подробные инструкции приведены ниже.

Шифры для согласования TLS

SMTP-серверы Google принимают эти шифры для согласования протокола Transport Layer Security (TLS).

Согласование TLS также называется рукопожатием TLS. Во время рукопожатия взаимодействующие стороны подтверждают друг друга, проверяют друг друга и согласовывают используемые шифры и ключи сессии.

Этот список шифров для согласования TLS был обновлен в мае 2025 года.

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 и TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

Исходящие серверные шифры

Эти шифры предпочитают исходящие серверы Gmail.

Gmail сообщает принимающему серверу, что поддерживает версии TLS 1.3, 1.2, 1.1 и 1.0. Затем принимающий сервер определяет, какая версия TLS будет использоваться для соединения.

Google не поддерживает SSLv3.

Этот список исходящих серверных шифров был обновлен в апреле 2020 года.

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Отклонять соединения, менее безопасные, чем TLS 1.2.

Выполните следующие шаги, чтобы настроить SMTP-соединения Gmail для использования TLS 1.2 или более высокого уровня. При добавлении этой настройки больше входящих сообщений будет отклонено и не доставлено получателям. Подробную информацию о настройке соответствия содержимого см. в разделе «Настройка правил для расширенной фильтрации содержимого электронной почты» .

  1. В консоли администратора Google перейдите в меню. а потом Приложения а потом Google Workspace а потом Гмайл а потом Согласие .

    Для этого требуются права администратора в настройках Gmail .

  2. (Необязательно) Слева выберите организацию.
  3. В разделе «Соответствие требованиям» прокрутите страницу до параметра «Соответствие контенту» , наведите на него курсор и нажмите «Настроить» . Если параметр уже настроен, наведите на него курсор и нажмите «Изменить» или «Добавить другой» .

  4. В поле «Добавить настройку» выполните следующие действия:

    Параметр настройки Что делать
    В соответствии с требованиями к содержанию

    Введите описание для параметра, например: Всегда использовать TLS 1.2

    Электронные сообщения, которые могут повлиять Выберите «Входящие» и «Внутреннее получение» .
    Добавьте выражение для отклонения соединений TLS 1.0.
    1. В таблице «Выражения» нажмите кнопку «Добавить» . Появится окно добавления настроек .
    2. В верхней части окна нажмите на меню. и выберите «Расширенное сопоставление содержимого» . В разделе «Расположение» выберите «Полные заголовки» .
    3. В разделе «Тип совпадения» выберите «Соответствует регулярному выражению» . Отобразятся параметры регулярных выражений.
    4. В поле "Регулярное выражение" введите следующее выражение: ^Received:.*\(version=TLS1 cipher=
    5. В поле «Описание регулярного выражения» введите описательное имя, например, «Match TLS 1.0» .
    6. Оставьте поле «Минимальное количество совпадений» пустым.
    7. В нижней части поля «Добавить параметр» нажмите «Сохранить» . Новое выражение появится в таблице «Выражения» .
    Если приведенные выше выражения совпадают, выполните следующие действия.

    Это действие применяется, если совпадает хотя бы одно из вышеуказанных выражений.

    1. Выберите «Отклонить сообщение» .
    2. В разделе «Пользовательское уведомление об отклонении» введите текст сообщения, которое отправители получают, когда их сообщение отклоняется из-за данной настройки, например: «Этот сервер требует TLSv1.1 или выше».
    Показать параметры
    1. Чтобы отобразить дополнительные параметры настройки, нажмите «Показать параметры» .
    2. В разделе B. Типы учетных записей, на которые следует воздействовать , выберите Пользователи и Нераспознанные/Всеобщие .

  5. Добавьте нижнюю часть поля «Добавить настройку» , нажмите «Сохранить» . Изменения могут вступить в силу в течение 24 часов, но обычно происходят быстрее. Подробнее. Вы можете отслеживать изменения в журнале аудита консоли администратора .

Проверьте трафик электронной почты, передаваемый через соединения 3DES.

Начиная с мая 2025 года, Gmail больше не будет поддерживать 3DES для входящих SMTP-соединений, и отправители электронной почты, использующие 3DES, не смогут доставлять письма на учетные записи Gmail.

Чтобы определить, какие из ваших отправителей и какой объем почтового трафика подвержены влиянию DES, мы рекомендуем настроить экспорт журналов службы в BigQuery . Создайте отчет BigQuery, который покажет, какие TLS-шифры используются для защищенных соединений с SMTP-серверами. Проверьте поле message_info.connection_info.smtp_tls_cipher , чтобы узнать, какие TLS-шифры используются для вашей электронной почты. Значение, отображаемое в этом поле и указывающее на использование шифра 3DES, — DES-CBC3-SHA . Хотя 3DES не является частью имени шифра, это именно шифр 3DES.