การเข้ารหัสสำหรับการเชื่อมต่อ TLS สำหรับ SMTP ของ Gmail

หน้านี้ได้รับการดูแลอย่างต่อเนื่องและแสดงถึงการรองรับ TLS และการเข้ารหัสปัจจุบันของ Gmail

การเข้ารหัสคืออัลกอริทึมที่ทำให้การเชื่อมต่อเครือข่ายที่ใช้ Transport Layer Security (TLS) มีความปลอดภัย ซึ่งโดยทั่วไปการเข้ารหัสจะประเภทใดประเภทหนึ่งใน 3 ประเภทต่อไปนี้

  • อัลกอริทึมการแลกเปลี่ยนคีย์: แลกเปลี่ยนคีย์ระหว่างอุปกรณ์ 2 เครื่อง คีย์จะ เข้ารหัสและถอดรหัสข้อความที่ส่งระหว่างอุปกรณ์ทั้งสองเครื่อง
  • อัลกอริทึมการเข้ารหัสจำนวนมาก: เข้ารหัสข้อมูลที่ส่งผ่านการเชื่อมต่อแบบ TLS
  • อัลกอริทึม MAC: ตรวจสอบว่าข้อมูลที่ส่งไม่มีการเปลี่ยนแปลงในขณะส่ง

นอกจากนี้ยังมีการเข้ารหัสที่มีลายเซ็นที่จะตรวจสอบสิทธิ์เซิร์ฟเวอร์หรือ ไคลเอ็นต์อีกด้วย ดูข้อมูลเพิ่มเติมเกี่ยวกับ Gmail และการเชื่อมต่อแบบ TLS

การรองรับ TLS 1.0, 1.1, 3DES และการเชื่อมต่อ TLS อื่นๆ ที่มีปลอดภัยน้อย

ตั้งแต่เดือนพฤษภาคม 2025 เป็นต้นไป Gmail จะไม่รองรับมาตรฐานการเข้ารหัสข้อมูลแบบ 3 ชั้น (3DES) สำหรับการเจรจาขาเข้าอีกต่อไป Gmail จะยังคงรองรับ 3DES สำหรับการเจรจาขาออกต่อไป

Gmail จะพยายามใช้ TLS เวอร์ชันล่าสุดที่มีความปลอดภัยมากที่สุดทุกครั้ง และจะไม่ใช้เวอร์ชันที่มีความปลอดภัยน้อยกว่าในเมื่อมีเวอร์ชันที่มีความปลอดภัยมากกว่า อย่างไรก็ตาม การส่ง SMTP ของ Gmail จะรองรับ TLS เวอร์ชันที่มีความปลอดภัยน้อยกว่าเพื่อการรองรับการใช้งานในกรณีที่ระบบไม่รองรับหรือไม่มี TLS เวอร์ชันที่มีความปลอดภัยมากกว่า โดย TLS เวอร์ชันที่ปลอดภัยน้อยกว่าซึ่ง Gmail รองรับ ได้แก่ TLS 1.0, TLS 1.1 และ 3DES (ขาออกเท่านั้น)

เพื่อป้องกันไม่ให้ผู้ใช้ที่เป็นอันตรายบังคับให้การเชื่อมต่อใช้ TLS เวอร์ชันที่มีความปลอดภัยน้อยกว่า ระบบจะเข้ารหัสการเจรจาในการเชื่อมต่อเสมอ

คุณอาจเลือกเพิ่มการตั้งค่าการปฏิบัติตามข้อกำหนดเกี่ยวกับเนื้อหาในคอนโซลผู้ดูแลระบบของ Google เพื่อปฏิเสธข้อความจากการเชื่อมต่อที่ไม่ได้ใช้ TLS 1.2 ขึ้นไป ดูขั้นตอนโดยละเอียดได้ที่ด้านล่าง

การเข้ารหัสสำหรับการเจรจา TLS

เซิร์ฟเวอร์ SMTP ของ Google จะยอมรับการเข้ารหัสสำหรับการเจรจา Transport Layer Security (TLS)

การเจรจา TLS จะเรียกอีกอย่างว่าแฮนด์เชคของ TLS ในระหว่างแฮนด์เชค ฝ่ายสื่อสารจะตอบรับกันและกัน ตรวจสอบกันและกัน และตกลงกันว่าจะใช้การเข้ารหัสและคีย์เซสชันใด

รายการการเข้ารหัสสำหรับการเจรจา TLS นี้อัปเดตเมื่อเดือนพฤษภาคม 2025

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 and TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

การเข้ารหัสเซิร์ฟเวอร์ขาออก

เซิร์ฟเวอร์ขาออกของ Gmail จะใช้การเข้ารหัสแบบนี้เป็นหลัก

Gmail จะแจ้งเซิร์ฟเวอร์ฝ่ายรับว่า Gmail รองรับ TLS เวอร์ชัน 1.3, 1.2, 1.1 และ 1.0 จากนั้นเซิร์ฟเวอร์ฝ่ายรับจะระบุเวอร์ชัน TLS ที่ใช้ในการ เชื่อมต่อ

Google ไม่รองรับ SSLv3

รายการการเข้ารหัสเซิร์ฟเวอร์ขาออกนี้อัปเดตเมื่อเดือนเมษายน 2020

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

ปฏิเสธการเชื่อมต่อที่มีความปลอดภัยน้อยกว่า TLS 1.2

ทำตามขั้นตอนเหล่านี้เพื่อกำหนดค่าการเชื่อมต่อ SMTP ของ Gmail เพื่อใช้ TLS 1.2 ขึ้นไป เมื่อเพิ่มการตั้งค่านี้ ระบบจะปฏิเสธข้อความขาเข้าจำนวนมากขึ้นและจะไม่นำส่งให้ผู้รับ โปรดดูข้อมูลโดยละเอียดเกี่ยวกับการตั้งค่าการปฏิบัติตามข้อกำหนดเกี่ยวกับเนื้อหาได้ที่หัวข้อตั้งกฎสำหรับการกรองเนื้อหาอีเมลขั้นสูง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น แอป จากนั้น Google Workspace จากนั้น Gmail จากนั้น การปฏิบัติตามข้อกำหนด

    ต้องมีสิทธิ์ของผู้ดูแลระบบสำหรับการตั้งค่า Gmail

  2. (ไม่บังคับ) เลือกองค์กรจากทางซ้าย
  3. เลื่อนไปที่การตั้งค่าการปฏิบัติตามข้อกำหนดเกี่ยวกับเนื้อหาในส่วนการปฏิบัติตามข้อกำหนด วางเมาส์เหนือการตั้งค่า แล้วคลิกกำหนดค่า หากมีการกำหนดการตั้งค่าไว้แล้ว ให้วางเมาส์เหนือการตั้งค่า แล้วคลิกแก้ไขหรือเพิ่มรายการอื่น

  4. ทำตามขั้นตอนต่อไปนี้ในช่องเพิ่มการตั้งค่า

    ตัวเลือกการตั้งค่า สิ่งที่ต้องทำ
    ในส่วนการปฏิบัติตามข้อกำหนดเกี่ยวกับเนื้อหา

    ป้อนคำอธิบายการตั้งค่า เช่น ใช้ TLS 1.2 เสมอ
    ข้อความอีเมลที่จะมีผล เลือกขาเข้าและการรับภายใน
    เพิ่มนิพจน์เพื่อปฏิเสธการเชื่อมต่อ TLS 1.0
    1. ด้านล่างหรือในตารางนิพจน์ ให้คลิกเพิ่ม ช่องเพิ่มการตั้งค่าจะปรากฏขึ้น
    2. ที่ด้านบนของช่อง ให้คลิกเมนู แล้วเลือกจับคู่เนื้อหาขั้นสูง ในส่วนตำแหน่ง ให้เลือกส่วนหัวแบบเต็ม
    3. ในส่วนประเภทการจับคู่ ให้เลือกจับคู่นิพจน์ทั่วไป ตัวเลือก Regexp จะปรากฏขึ้น
    4. ในส่วน Regexp ให้ป้อนนิพจน์นี้: ^Received:.*\(version=TLS1 cipher=
    5. ในส่วนคำอธิบายนิพจน์ทั่วไป ให้ป้อนชื่อที่สื่อความหมาย เช่น จับคู่ TLS 1.0
    6. เว้นช่องจำนวนเนื้อหาที่ตรงกันขั้นต่ำว่างไว้
    7. คลิกบันทึกที่ด้านล่างของช่องเพิ่มการตั้งค่า นิพจน์ใหม่จะปรากฏในตารางนิพจน์
    ถ้านิพจน์ข้างต้นตรงกัน ให้ดำเนินการดังต่อไปนี้

    การดำเนินการนี้จะมีผลหากนิพจน์ใดนิพจน์หนึ่งข้างต้นตรงกัน

    1. เลือกปฏิเสธข้อความ
    2. ในส่วนการแจ้งปฏิเสธที่กำหนดเอง ให้ป้อนข้อความที่ผู้ส่งจะได้รับเมื่อข้อความถูกปฏิเสธเนื่องจากการตั้งค่า เช่น เซิร์ฟเวอร์นี้ต้องใช้ TLSv1.1 ขึ้นไป
    แสดงตัวเลือก
    1. หากต้องการแสดงตัวเลือกการตั้งค่าเพิ่มเติม ให้คลิกแสดงตัวเลือก
    2. ในส่วน ข. ประเภทบัญชีที่ได้รับผล ให้เลือกผู้ใช้ แล้วเลือกไม่รู้จัก/รับทั้งหมด

  5. คลิกบันทึกที่ด้านล่างของช่องเพิ่มการตั้งค่า การเปลี่ยนแปลงอาจใช้เวลาถึง 24 ชั่วโมง แต่โดยปกติจะใช้เวลาเร็วกว่านั้น ดูข้อมูลเพิ่มเติม คุณสามารถติดตามการเปลี่ยนแปลงได้ในบันทึกการตรวจสอบของคอนโซลผู้ดูแลระบบ

ตรวจสอบการรับส่งอีเมลที่ส่งผ่านการเชื่อมต่อ 3DES

ตั้งแต่เดือนพฤษภาคม 2025 เป็นต้นไป Gmail จะไม่รองรับ 3DES สำหรับการเชื่อมต่อ SMTP ขาเข้าอีกต่อไป และผู้ส่งอีเมลที่ใช้ 3DES จะไม่สามารถส่งอีเมลไปยังบัญชี Gmail ได้

หากต้องการทราบว่าผู้ส่งรายใดและปริมาณการรับส่งอีเมลใดที่ได้รับผลกระทบจาก DES เราขอแนะนำให้คุณตั้งค่าการส่งออกบันทึกบริการไปยัง BigQuery สร้างรายงาน BigQuery ที่แจ้งการเข้ารหัส TLS ที่ใช้สำหรับการเชื่อมต่อที่ปลอดภัยกับเซิร์ฟเวอร์ SMTP และตรวจสอบช่องชื่อ message_info.connection_info.smtp_tls_cipher เพื่อดูการเข้ารหัส TLS ที่ใช้กับอีเมล ค่าที่แสดงในฟิลด์นี้ซึ่ง ระบุการใช้การเข้ารหัส 3DES คือ DES-CBC3-SHA แม้ว่า 3DES จะไม่ได้ระบุในชื่อการเข้ารหัส แต่ก็ถือเป็นการเข้ารหัส 3DES