การเข้ารหัสสำหรับการเชื่อมต่อ TLS สำหรับ SMTP ของ Gmail

หน้านี้ได้รับการดูแลอย่างต่อเนื่องและแสดงการรองรับ TLS และการเข้ารหัสของ Gmail ในปัจจุบัน

การเข้ารหัสคืออัลกอริทึมที่ทำให้การเชื่อมต่อเครือข่ายที่ใช้ Transport Layer Security (TLS) มีความปลอดภัย ซึ่งโดยทั่วไปการเข้ารหัสจะประเภทใดประเภทหนึ่งใน 3 ประเภทต่อไปนี้

  • อัลกอริทึมการแลกเปลี่ยนคีย์: แลกเปลี่ยนคีย์ระหว่างอุปกรณ์ 2 เครื่อง คีย์จะเข้ารหัสและถอดรหัสข้อความที่ส่งระหว่างอุปกรณ์ทั้งสองเครื่อง
  • อัลกอริทึมการเข้ารหัสจำนวนมาก: เข้ารหัสข้อมูลที่ส่งผ่านการเชื่อมต่อแบบ TLS
  • อัลกอริทึม MAC: ตรวจสอบว่าข้อมูลที่ส่งไม่มีการเปลี่ยนแปลงในขณะส่ง

นอกจากนี้ยังมีการเข้ารหัสที่มีลายเซ็นที่จะตรวจสอบสิทธิ์เซิร์ฟเวอร์หรือไคลเอ็นต์อีกด้วย ดูข้อมูลเพิ่มเติมเกี่ยวกับ Gmail และการเชื่อมต่อแบบ TLS

การรองรับ TLS 1.0, 1.1, 3DES และการเชื่อมต่อ TLS อื่นๆ ที่มีปลอดภัยน้อย

ตั้งแต่เดือนพฤษภาคม 2025 เป็นต้นไป Gmail จะไม่รองรับมาตรฐานการเข้ารหัสข้อมูลแบบ 3 ชั้น (3DES) สำหรับการเจรจาขาเข้าอีกต่อไป Gmail จะยังคงรองรับ 3DES สำหรับการเจรจาขาออกต่อไป

Gmail จะพยายามใช้ TLS เวอร์ชันล่าสุดที่มีความปลอดภัยมากที่สุดทุกครั้ง และจะไม่ใช้เวอร์ชันที่มีความปลอดภัยน้อยกว่าในเมื่อมีเวอร์ชันที่มีความปลอดภัยมากกว่า อย่างไรก็ตาม การส่ง SMTP ของ Gmail จะรองรับ TLS เวอร์ชันที่มีความปลอดภัยน้อยกว่าเพื่อการรองรับการใช้งานในกรณีที่ระบบไม่รองรับหรือไม่มี TLS เวอร์ชันที่มีความปลอดภัยมากกว่า โดย TLS เวอร์ชันที่ปลอดภัยน้อยกว่าซึ่ง Gmail รองรับ ได้แก่ TLS 1.0, TLS 1.1 และ 3DES (ขาออกเท่านั้น)

เพื่อป้องกันไม่ให้ผู้ใช้ที่เป็นอันตรายบังคับให้การเชื่อมต่อใช้ TLS เวอร์ชันที่มีความปลอดภัยน้อยกว่า ระบบจะเข้ารหัสการเจรจาในการเชื่อมต่อเสมอ

คุณอาจเลือกเพิ่มการตั้งค่าการปฏิบัติตามข้อกำหนดเกี่ยวกับเนื้อหาในคอนโซลผู้ดูแลระบบของ Google เพื่อปฏิเสธข้อความจากการเชื่อมต่อที่ไม่ได้ใช้ TLS 1.2 ขึ้นไป ดูขั้นตอนโดยละเอียดที่ด้านล่าง

การเข้ารหัสสำหรับการเจรจา TLS

เซิร์ฟเวอร์ SMTP ของ Google จะยอมรับการเข้ารหัสสำหรับการเจรจา Transport Layer Security (TLS)

การเจรจา TLS จะเรียกอีกอย่างว่าแฮนด์เชคของ TLS ในระหว่างแฮนด์เชค ฝ่ายสื่อสารจะตอบรับกันและกัน ตรวจสอบกันและกัน และตกลงกันว่าจะใช้การเข้ารหัสและคีย์เซสชันใด

รายการการเข้ารหัสสำหรับการเจรจา TLS นี้อัปเดตเมื่อเดือนพฤษภาคม 2025

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 และ TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

การเข้ารหัสเซิร์ฟเวอร์ขาออก

เซิร์ฟเวอร์ขาออกของ Gmail จะใช้การเข้ารหัสแบบนี้เป็นหลัก

Gmail จะแจ้งเซิร์ฟเวอร์ฝ่ายรับว่า Gmail รองรับ TLS เวอร์ชัน 1.3, 1.2, 1.1 และ 1.0 จากนั้นเซิร์ฟเวอร์ฝ่ายรับจะระบุเวอร์ชัน TLS ที่ใช้ในการเชื่อมต่อ

Google ไม่รองรับ SSLv3

รายการการเข้ารหัสเซิร์ฟเวอร์ขาออกนี้อัปเดตเมื่อเดือนเมษายน 2020

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

ปฏิเสธการเชื่อมต่อที่มีความปลอดภัยน้อยกว่า TLS 1.2

ทำตามขั้นตอนเหล่านี้เพื่อกำหนดค่าการเชื่อมต่อ SMTP ของ Gmail เพื่อใช้ TLS 1.2 ขึ้นไป เมื่อเพิ่มการตั้งค่านี้ ระบบจะปฏิเสธข้อความขาเข้าจำนวนมากขึ้นและจะไม่นำส่งให้ผู้รับ โปรดดูข้อมูลโดยละเอียดเกี่ยวกับการตั้งค่าการปฏิบัติตามข้อกำหนดเกี่ยวกับเนื้อหาได้ที่หัวข้อตั้งกฎสำหรับการกรองเนื้อหาอีเมลขั้นสูง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น แอปจากนั้นGoogle Workspaceจากนั้นGmailจากนั้นการปฏิบัติตามข้อกำหนด

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับการตั้งค่า Gmail

  2. (ไม่บังคับ) เลือกองค์กรจากทางซ้าย
  3. เลื่อนไปที่การตั้งค่าการปฏิบัติตามข้อกำหนดเกี่ยวกับเนื้อหาในส่วนการปฏิบัติตามข้อกำหนด วางเมาส์เหนือการตั้งค่า แล้วคลิกกำหนดค่า หากมีการกำหนดการตั้งค่าไว้แล้ว ให้วางเมาส์เหนือการตั้งค่า แล้วคลิกแก้ไขหรือเพิ่มรายการอื่น

  4. ทำตามขั้นตอนต่อไปนี้ในช่องเพิ่ม การตั้งค่า

    ตัวเลือกการตั้งค่า สิ่งที่ต้องทำ
    ในส่วนการปฏิบัติตามข้อกำหนดเกี่ยวกับเนื้อหา

    ป้อนคำอธิบายการตั้งค่า เช่น ใช้ TLS 1.2 เสมอ
    ข้อความอีเมลที่จะมีผล เลือกขาเข้าและการรับภายใน
    เพิ่มนิพจน์เพื่อปฏิเสธการเชื่อมต่อ TLS 1.0
    1. ด้านล่างหรือในตารางนิพจน์ ให้คลิกเพิ่ม ช่องเพิ่ม การตั้งค่าจะปรากฏขึ้น
    2. ที่ด้านบนของช่อง ให้คลิกเมนู แล้วเลือกจับคู่เนื้อหาขั้นสูง ในส่วนตำแหน่ง ให้เลือกส่วนหัวแบบเต็ม
    3. ในส่วนประเภทการจับคู่ ให้เลือกจับคู่นิพจน์ทั่วไป ตัวเลือก Regexp จะปรากฏขึ้น
    4. ในส่วน Regexp ให้ป้อนนิพจน์นี้: ^Received:.*\(version=TLS1 cipher=
    5. ในส่วนคำอธิบายนิพจน์ทั่วไป ให้ป้อนชื่อที่สื่อความหมาย เช่น จับคู่ TLS 1.0
    6. เว้นช่องจำนวนเนื้อหาที่ตรงกันขั้นต่ำว่างไว้
    7. คลิกบันทึกที่ด้านล่างของช่องเพิ่มการตั้งค่า นิพจน์ใหม่จะปรากฏในตารางนิพจน์
    หากนิพจน์ข้างต้นตรงกัน ให้ดำเนินการดังต่อไปนี้

    การดำเนินการนี้จะมีผลหากนิพจน์ข้างต้นตรงกัน

    1. เลือกปฏิเสธข้อความ
    2. ในส่วนการแจ้งปฏิเสธที่กำหนดเอง ให้ป้อนข้อความที่ผู้ส่งจะได้รับเมื่อข้อความถูกปฏิเสธเนื่องจากการตั้งค่า เช่น เซิร์ฟเวอร์นี้ต้องใช้ TLSv1.1 ขึ้นไป
    แสดงตัวเลือก
    1. หากต้องการแสดงตัวเลือกการตั้งค่าเพิ่มเติม ให้คลิกแสดงตัวเลือก
    2. ในส่วน ข. ประเภทบัญชีที่ได้รับผล ให้เลือกผู้ใช้ แล้วเลือกไม่รู้จัก/รับทั้งหมด

  5. คลิกบันทึกที่ด้านล่างของช่องเพิ่มการตั้งค่า การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม คุณสามารถติดตามการเปลี่ยนแปลงได้ในบันทึกการตรวจสอบของคอนโซลผู้ดูแลระบบ

ตรวจสอบการรับส่งอีเมลที่ส่งผ่านการเชื่อมต่อ 3DES

ตั้งแต่เดือนพฤษภาคม 2025 เป็นต้นไป Gmail จะไม่รองรับ 3DES สำหรับการเชื่อมต่อ SMTP ขาเข้าอีกต่อไป และผู้ส่งอีเมลที่ใช้ 3DES จะไม่สามารถส่งอีเมลไปยังบัญชี Gmail ได้

หากต้องการทราบว่าผู้ส่งรายใดและปริมาณการรับส่งอีเมลใดได้รับผลกระทบจาก DES เราขอแนะนําให้คุณตั้งค่าการส่งออกบันทึกบริการไปยัง BigQuery สร้างรายงาน BigQuery ที่แจ้งการเข้ารหัส TLS ที่ใช้สำหรับการเชื่อมต่อที่ปลอดภัยกับเซิร์ฟเวอร์ SMTP และตรวจสอบช่องชื่อ message_info.connection_info.smtp_tls_cipher เพื่อดูการเข้ารหัส TLS ที่ใช้กับอีเมล ค่าที่แสดงในฟิลด์นี้ซึ่งบ่งบอกถึงการใช้การเข้ารหัส 3DES คือ DES-CBC3-SHA แม้ว่า 3DES จะไม่ได้ระบุในชื่อการเข้ารหัส แต่ก็ถือเป็นการเข้ารหัส 3DES