Chiffer för Gmail SMTP TLS-anslutningar

Den här sidan underhålls aktivt och återspeglar Gmails nuvarande TLS- och krypteringsstöd.

Chiffer är algoritmer som hjälper till att säkra nätverksanslutningar som använder Transport Layer Security (TLS). Chiffer är generellt en av tre typer:

  • Nyckelutbytesalgoritm: Utväxlar en nyckel mellan två enheter. Nyckeln krypterar och dekrypterar meddelanden som skickas mellan de två enheterna.
  • Masskrypteringsalgoritm: Krypterar data som skickas via TLS-anslutningen.
  • MAC-algoritm: Verifierar att skickad data inte ändras under överföring.

Det finns också chiffer som innehåller signaturer och som autentiserar servrar eller klienter. Läs mer om Gmail- och TLS-anslutningar .

Stöd för TLS 1.0, 1.1, 3DES och andra mindre säkra TLS-anslutningar

Från och med maj 2025 stöder Gmail inte längre Triple Data Encryption Standard (3DES) för inkommande förhandlingar. Gmail fortsätter att stödja 3DES för utgående förhandlingar.

Gmail försöker alltid använda de senaste och säkraste TLS-versionerna och använder inte mindre säkra versioner när säkrare versioner finns tillgängliga. Gmail SMTP-leverans stöder dock mindre säkra TLS-versioner för kompatibilitet när säkrare TLS-versioner inte stöds eller är tillgängliga. Mindre säkra TLS-versioner som stöds av Gmail inkluderar TLS 1.0, TLS 1.1 och 3DES (endast utgående).

För att förhindra att illvilliga användare tvingar anslutningar att använda mindre säkra versioner av TLS, krypteras anslutningsförhandlingar alltid.

Du kan valfritt lägga till en inställning för innehållsefterlevnad i Googles administratörskonsol för att avvisa meddelanden från anslutningar som inte använder TLS 1.2 eller starkare. Följ de detaljerade stegen nedan.

Chiffer för TLS-förhandling

Googles SMTP-servrar accepterar dessa chiffer för TLS-förhandling (Transport Layer Security).

TLS-förhandling kallas också för en TLS- handskakning . Under handskakningen bekräftar de kommunicerande sidorna varandra, verifierar varandra och kommer överens om vilka chiffer och sessionsnycklar som ska användas.

Denna lista över chiffer för TLS-förhandling uppdaterades i maj 2025.

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 och TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

Utgående serverchiffer

Dessa chiffer föredras av utgående Gmail-servrar.

Gmail meddelar den mottagande servern att den stöder TLS-versionerna 1.3, 1.2, 1.1 och 1.0. Den mottagande servern avgör sedan vilken TLS-version som används för anslutningen.

Google stöder inte SSLv3.

Denna lista över utgående serverchiffer uppdaterades i april 2020.

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Avvisa anslutningar som är mindre säkra än TLS 1.2

Följ dessa steg för att konfigurera Gmail SMTP-anslutningar för att använda TLS 1.2 eller starkare. När du lägger till den här inställningen avvisas fler inkommande meddelanden och levereras inte till mottagarna. För detaljerad information om inställningen för innehållsefterlevnad, besök Konfigurera regler för avancerad filtrering av e-postinnehåll .

  1. I Googles administratörskonsol, gå till Meny och sedan Appar och sedan Google Workspace och sedan Gmail och sedan Efterlevnad .

    Kräver administratörsbehörighet för Gmail-inställningar .

  2. (Valfritt) Välj organisationen till vänster.
  3. Bläddra till inställningen Innehållsefterlevnad i avsnittet Efterlevnad, håll muspekaren över inställningen och klicka på Konfigurera . Om inställningen redan är konfigurerad, håll muspekaren över inställningen och klicka på Redigera eller Lägg till ytterligare en .

  4. Gör följande i rutan Lägg till inställning :

    Inställningsalternativ Vad man ska göra
    Under Innehållsefterlevnad

    Ange en beskrivning för inställningen, till exempel Använd alltid TLS 1.2.

    E-postmeddelanden som ska påverkas Välj Inkommande och internt mottagande .
    Lägg till uttryck för att avvisa TLS 1.0-anslutningar
    1. Under eller i tabellen Uttryck klickar du på Lägg till . Rutan Lägg till inställning visas.
    2. Klicka på menyn högst upp i rutan och välj Avancerad innehållsmatchning . Under Plats väljer du Fullständiga rubriker .
    3. Under Matchningstyp väljer du Matchar regex . Alternativen för regexp visas.
    4. Under Regexp , ange följande uttryck: ^Received:.*\(version=TLS1 cipher=
    5. Under Regex-beskrivning anger du ett beskrivande namn, till exempel Matcha TLS 1.0 .
    6. Lämna fältet Minsta antal matchningar tomt.
    7. Klicka på Spara längst ner i rutan Lägg till inställning . Det nya uttrycket visas i tabellen Uttryck .
    Om uttrycken ovan matchar, gör följande

    Denna åtgärd gäller om något av uttrycken ovan matchar.

    1. Välj Avvisa meddelande .
    2. Under Anpassat avslagsmeddelande anger du texten i det meddelande som avsändare får när deras meddelande avvisas på grund av inställningen, till exempel: Den här servern kräver TLSv1.1 eller högre.
    Visa alternativ
    1. Om du vill visa fler inställningsalternativ klickar du på Visa alternativ .
    2. Under B. Kontotyper att påverka , välj Användare och Oigenkänd/Allmänt .

  5. Längst ner i rutan Lägg till inställning klickar du på Spara . Ändringar kan ta upp till 24 timmar men sker vanligtvis snabbare. Läs mer Du kan övervaka ändringar i administratörskonsolens granskningslogg .

Kontrollera e-posttrafik som skickas via 3DES-anslutningar

Från och med maj 2025 stöder Gmail inte längre 3DES för inkommande SMTP-anslutningar, och e-postavsändare som använder 3DES kan inte leverera e-post till Gmail-konton.

För att avgöra vilka av dina avsändare och vilken e-posttrafik som påverkas av DES rekommenderar vi att du konfigurerar export av tjänstloggar till BigQuery . Skapa en BigQuery-rapport som visar vilka TLS-chiffer som används för säkra anslutningar till SMTP-servrar. Kontrollera fältet message_info.connection_info.smtp_tls_cipher för de TLS-chiffer som används för din e-post. Värdet som visas i det här fältet och som indikerar användning av en 3DES-chiffer är DES-CBC3-SHA . Även om 3DES inte är en del av chiffernamnet är detta en 3DES-chiffer.