Trang này được duy trì thường xuyên và phản ánh chế độ hỗ trợ TLS và mật mã hiện tại của Gmail.
Mật mã là các thuật toán giúp bảo mật các kết nối mạng sử dụng giao thức Bảo mật tầng truyền tải (TLS). Mật mã thường thuộc một trong 3 loại sau:
- Thuật toán trao đổi khoá: Trao đổi khoá giữa hai thiết bị. Khoá này mã hoá và giải mã các tin nhắn được gửi giữa hai thiết bị.
- Thuật toán mã hoá hàng loạt: Mã hoá dữ liệu được gửi qua kết nối TLS.
- Thuật toán MAC: Xác minh rằng dữ liệu đã gửi không thay đổi trong quá trình truyền.
Ngoài ra, còn có các mật mã bao gồm chữ ký và xác thực máy chủ hoặc ứng dụng. Tìm hiểu thêm về Gmail và các kết nối TLS.
Hỗ trợ TLS 1.0, 1.1, 3DES và các kết nối TLS kém an toàn khác
Kể từ tháng 5 năm 2025, Gmail sẽ không còn hỗ trợ Tiêu chuẩn mã hoá dữ liệu ba lần (3DES) cho các hoạt động thương lượng chiều đến. Gmail vẫn hỗ trợ 3DES cho các hoạt động thương lượng chiều đi.
Gmail luôn cố gắng sử dụng các phiên bản TLS mới nhất và an toàn nhất, đồng thời không sử dụng các phiên bản kém an toàn hơn khi có các phiên bản an toàn hơn. Tuy nhiên, dịch vụ gửi email qua SMTP của Gmail hỗ trợ các phiên bản TLS kém an toàn hơn để đảm bảo khả năng tương thích khi các phiên bản TLS an toàn hơn không được hỗ trợ hoặc không có sẵn. Các phiên bản TLS kém an toàn mà Gmail hỗ trợ bao gồm TLS 1.0, TLS 1.1 và 3DES (chỉ thư đi).
Để ngăn người dùng độc hại buộc các kết nối sử dụng các phiên bản TLS kém an toàn hơn, các thoả thuận kết nối luôn được mã hoá.
Bạn có thể thêm chế độ cài đặt tuân thủ nội dung (không bắt buộc) trong Bảng điều khiển dành cho quản trị viên của Google để từ chối thư từ những kết nối không sử dụng TLS 1.2 trở lên. Chuyển đến các bước chi tiết bên dưới
Thuật toán mật mã để thương lượng TLS
Máy chủ SMTP của Google chấp nhận các thuật toán mật mã này để thương lượng giao thức Bảo mật tầng truyền tải (TLS).
Quy trình thương lượng TLS còn được gọi là quy trình bắt tay TLS. Trong quá trình bắt tay, các bên giao tiếp sẽ xác nhận lẫn nhau, xác minh lẫn nhau và thoả thuận về các mật mã cũng như khoá phiên sẽ được sử dụng.
Danh sách các thuật toán mật mã để thương lượng TLS này đã được cập nhật vào tháng 5 năm 2025.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.1 và TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Mật mã máy chủ đi
Các thuật toán mã hoá này được máy chủ gửi thư đi của Gmail ưu tiên.
Gmail thông báo cho máy chủ nhận rằng Gmail hỗ trợ các phiên bản TLS 1.3, 1.2, 1.1 và 1.0. Sau đó, máy chủ nhận sẽ xác định phiên bản TLS được dùng cho kết nối.
Google không hỗ trợ SSLv3.
Danh sách các mật mã máy chủ gửi đi này được cập nhật vào tháng 4 năm 2020.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Từ chối các kết nối kém an toàn hơn TLS 1.2
Làm theo các bước sau để định cấu hình các kết nối SMTP của Gmail nhằm sử dụng TLS 1.2 trở lên. Khi bạn thêm chế độ cài đặt này, nhiều thư đến hơn sẽ bị từ chối và không được gửi đến người nhận. Để biết thông tin chi tiết về chế độ cài đặt tuân thủ nội dung, hãy xem bài viết Thiết lập quy tắc cho tính năng lọc nội dung email nâng cao.
-
Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến biểu tượng Trình đơn
Ứng dụngGoogle WorkspaceGmailTuân thủ.Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.
- (Không bắt buộc) Ở bên trái, hãy chọn tổ chức.
- Di chuyển đến chế độ cài đặt Tuân thủ nội dung trong phần Tuân thủ, di chuột qua chế độ cài đặt này rồi nhấp vào Định cấu hình. Nếu chế độ cài đặt đã được định cấu hình, hãy di chuột qua chế độ cài đặt đó rồi nhấp vào Chỉnh sửa hoặc Thêm chế độ cài đặt khác.
Trong hộp Thêm chế độ cài đặt, hãy làm theo các bước sau:
Tuỳ chọn cài đặt Việc nên làm Trong mục Tuân thủ về nội dung Nhập nội dung mô tả cho chế độ cài đặt, ví dụ: Luôn sử dụng TLS 1.2
Các email sẽ bị ảnh hưởng Chọn Inbound (Đầu vào) và Internal-receiving (Nhận nội bộ). Thêm biểu thức để từ chối các kết nối TLS 1.0 - Trong hoặc bên dưới bảng Biểu thức, hãy nhấp vào Thêm. Hộp Thêm chế độ cài đặt sẽ xuất hiện.
- Ở đầu hộp, hãy nhấp vào trình đơn
rồi chọn So khớp nội dung nâng cao. Trong mục Vị trí, hãy chọn Tiêu đề đầy đủ. - Trong mục Kiểu khớp, hãy chọn Khớp với biểu thức chính quy. Các lựa chọn về Biểu thức chính quy sẽ xuất hiện.
- Trong phần Regexp, hãy nhập biểu thức sau:
^Received:.*\(version=TLS1 cipher= - Trong mục Mô tả biểu thức chính quy, hãy nhập một tên mô tả, ví dụ: Khớp TLS 1.0.
- Để trống trường Số lượng kết quả khớp tối thiểu.
- Ở dưới cùng của hộp Thêm chế độ cài đặt, hãy nhấp vào Lưu. Biểu thức mới sẽ xuất hiện trong bảng Biểu thức.
Nếu các biểu thức ở trên khớp, hãy làm như sau Hành động này sẽ áp dụng nếu một trong hai biểu thức trên khớp.
- Chọn Từ chối tin nhắn.
- Trong phần Thông báo từ chối tuỳ chỉnh, hãy nhập nội dung của thông báo mà người gửi nhận được khi thư của họ bị từ chối do chế độ cài đặt này, ví dụ: Máy chủ này yêu cầu TLSv1.1 trở lên
Hiển thị tùy chọn - Để hiện thêm các lựa chọn cài đặt, hãy nhấp vào Hiện các lựa chọn.
- Dưới B. Loại tài khoản chịu ảnh hưởng, chọn Người dùng và Không xác định/Tất cả.
Thêm vào cuối hộp Thêm chế độ cài đặt, nhấp vào Lưu. Các thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm Bạn có thể theo dõi các thay đổi trong Nhật ký kiểm tra Bảng điều khiển dành cho quản trị viên.
Kiểm tra lưu lượng truy cập email được gửi qua các kết nối 3DES
Kể từ tháng 5 năm 2025, Gmail sẽ ngừng hỗ trợ thuật toán 3DES cho những kết nối chiều đến bằng giao thức SMTP và những người gửi email sử dụng thuật toán 3DES sẽ không thể gửi email đến tài khoản Gmail.
Để xác định những người gửi và lưu lượng truy cập email nào bị ảnh hưởng bởi DES , bạn nên Thiết lập tính năng xuất nhật ký dịch vụ sang BigQuery. Tạo một báo cáo BigQuery cho biết những thuật toán mật mã TLS nào được dùng cho các kết nối bảo mật đến máy chủ SMTP. Kiểm tra trường có tên message_info.connection_info.smtp_tls_cipher để biết các thuật toán mật mã TLS được dùng cho email của bạn. Giá trị xuất hiện trong trường này cho biết việc sử dụng mật mã 3DES là DES-CBC3-SHA. Mặc dù 3DES không nằm trong tên thuật toán mật mã, nhưng đây là một thuật toán mật mã 3DES.