Thuật toán mật mã dành cho kết nối TLS (Bảo mật tầng truyền tải) tới máy chủ SMTP của Gmail

Trang này được duy trì thường xuyên và phản ánh khả năng hỗ trợ TLS và thuật toán mật mã hiện tại của Gmail support.

Thuật toán mật mã là các thuật toán giúp bảo mật các kết nối mạng sử dụng giao thức Bảo mật tầng truyền tải (TLS). Thuật toán mật mã thường thuộc một trong 3 loại sau:

  • Thuật toán trao đổi khoá: Trao đổi khoá giữa hai thiết bị. Khoá này mã hoá và giải mã các tin nhắn được gửi giữa hai thiết bị.
  • Thuật toán mã hoá hàng loạt: Mã hoá dữ liệu được gửi qua kết nối TLS.
  • Thuật toán MAC: Xác minh rằng dữ liệu đã gửi không thay đổi trong quá trình truyền.

Ngoài ra, còn có các thuật toán mật mã bao gồm chữ ký và xác thực máy chủ hoặc ứng dụng. Tìm hiểu thêm về Gmail và kết nối TLS connections.

Hỗ trợ TLS 1.0, 1.1, 3DES và các kết nối TLS kém an toàn khác

Kể từ tháng 5 năm 2025, Gmail sẽ không còn hỗ trợ Tiêu chuẩn mã hoá dữ liệu ba lần (3DES) cho các hoạt động thương lượng chiều đến. Gmail vẫn tiếp tục hỗ trợ 3DES cho các hoạt động thương lượng chiều đi.

Gmail luôn cố gắng sử dụng các phiên bản TLS mới nhất và an toàn nhất, đồng thời không sử dụng các phiên bản kém an toàn khi có các phiên bản an toàn hơn. Tuy nhiên, tính năng gửi thư qua SMTP của Gmail hỗ trợ các phiên bản TLS kém an toàn hơn để đảm bảo khả năng tương thích khi các phiên bản TLS an toàn hơn không được hỗ trợ hoặc không có sẵn. Các phiên bản TLS kém an toàn hơn mà Gmail hỗ trợ bao gồm TLS 1.0, TLS 1.1 và 3DES (chỉ chiều đi).

Để ngăn người dùng độc hại buộc các kết nối sử dụng các phiên bản TLS kém an toàn hơn, các hoạt động thương lượng kết nối luôn được mã hoá.

Bạn có thể tuỳ ý thêm chế độ cài đặt tuân thủ về nội dung trong Bảng điều khiển dành cho quản trị viên của Google để từ chối các thư từ những kết nối không sử dụng TLS 1.2 trở lên. Chuyển đến các bước chi tiết bên dưới

Thuật toán mật mã để thương lượng TLS

Máy chủ SMTP của Google chấp nhận các thuật toán mật mã này để thương lượng giao thức Bảo mật tầng truyền tải (TLS).

Hoạt động thương lượng TLS còn được gọi là hoạt động bắt tay TLS. Trong quá trình bắt tay, các bên giao tiếp sẽ xác nhận lẫn nhau, xác minh lẫn nhau và đồng ý về các thuật toán mật mã và khoá phiên sẽ được sử dụng.

Danh sách các thuật toán mật mã để thương lượng TLS này được cập nhật vào tháng 5 năm 2025.

TLS 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 và TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

Thuật toán mật mã của máy chủ chiều đi

Các thuật toán mật mã này được máy chủ chiều đi của Gmail ưu tiên.

Gmail thông báo cho máy chủ nhận rằng Gmail hỗ trợ các phiên bản TLS 1.3, 1.2, 1.1 và 1.0. Sau đó, máy chủ nhận sẽ xác định phiên bản TLS được sử dụng cho kết nối.

Google không hỗ trợ SSLv3.

Danh sách các thuật toán mật mã của máy chủ chiều đi này được cập nhật vào tháng 4 năm 2020.

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Từ chối các kết nối kém an toàn hơn TLS 1.2

Hãy làm theo các bước sau để định cấu hình các kết nối SMTP của Gmail sử dụng TLS 1.2 trở lên. Khi bạn thêm chế độ cài đặt này, nhiều thư đến sẽ bị từ chối và không được gửi đến người nhận. Để biết thông tin chi tiết về chế độ cài đặt tuân thủ về nội dung, hãy truy cập vào bài viết Thiết lập quy tắc cho tính năng lọc nội dung email nâng cao.

  1. Trong Bảng điều khiển dành cho quản trị viên của Google, hãy chuyển đến Trình đơn sau đó Ứng dụng sau đó Google Workspace sau đó Gmail sau đó Tuân thủ.

    Bạn phải có đặc quyền của quản trị viên trong phần Cài đặt Gmail.

  2. (Không bắt buộc) Ở bên trái, hãy chọn tổ chức.
  3. Di chuyển đến chế độ cài đặt Tuân thủ về nội dung trong phần Tuân thủ, di chuột qua chế độ cài đặt đó rồi nhấp vào Định cấu hình. Nếu chế độ cài đặt đã được định cấu hình, hãy di chuột qua chế độ cài đặt đó rồi nhấp vào Chỉnh sửa hoặc Thêm một chế độ cài đặt khác.

  4. Trong hộp Thêm chế độ cài đặt, hãy làm theo các bước sau:

    Tuỳ chọn cài đặt Việc nên làm
    Trong mục Tuân thủ về nội dung

    Nhập nội dung mô tả cho chế độ cài đặt, ví dụ: Luôn sử dụng TLS 1.2
    Các thư email sẽ bị ảnh hưởng Chọn Chiều đếnNhận nội bộ.
    Thêm biểu thức để từ chối các kết nối TLS 1.0
    1. Trong bảng Biểu thức, hãy nhấp vào Thêm. Hộp Thêm chế độ cài đặt sẽ xuất hiện.
    2. Ở đầu hộp, hãy nhấp vào trình đơn rồi chọn So khớp nội dung nâng cao. Trong mục Vị trí, hãy chọn Tiêu đề đầy đủ.
    3. Trong mục Kiểu khớp, hãy chọn So khớp biểu thức chính quy. Các tuỳ chọn Biểu thức chính quy sẽ xuất hiện.
    4. Trong mục Biểu thức chính quy, hãy nhập biểu thức này: ^Received:.*\(version=TLS1 cipher=
    5. Trong mục Mô tả biểu thức chính quy, hãy nhập tên mô tả, ví dụ: So khớp TLS 1.0.
    6. Để trống trường Số lần so khớp tối thiểu.
    7. Ở cuối hộp Thêm chế độ cài đặt, hãy nhấp vào Lưu. Biểu thức mới sẽ xuất hiện trong bảng Biểu thức.
    Nếu các biểu thức ở trên khớp, hãy làm như sau

    Hành động này sẽ áp dụng nếu một trong các biểu thức ở trên khớp.

    1. Chọn Từ chối thư.
    2. Trong mục Thông báo từ chối tuỳ chỉnh, hãy nhập nội dung của thông báo mà người gửi nhận được khi thư của họ bị từ chối do chế độ cài đặt này, ví dụ: Máy chủ này yêu cầu TLSv1.1 trở lên
    Hiển thị tùy chọn
    1. Để hiển thị thêm các tuỳ chọn cài đặt, hãy nhấp vào Hiển thị tuỳ chọn.
    2. Trong mục B. Các loại tài khoản sẽ bị ảnh hưởng, hãy chọn Người dùngKhông nhận dạng được/Tất cả.

  5. Thêm vào cuối hộp Thêm chế độ cài đặt, hãy nhấp vào Lưu. Thay đổi có thể mất đến 24 giờ mới có hiệu lực, nhưng thường thì nhanh hơn. Tìm hiểu thêm Bạn có thể theo dõi các thay đổi trong nhật ký kiểm tra Bảng điều khiển dành cho quản trị viên log.

Kiểm tra lưu lượng truy cập email được gửi qua các kết nối 3DES

Kể từ tháng 5 năm 2025, Gmail sẽ không còn hỗ trợ 3DES cho các kết nối SMTP chiều đến và người gửi email sử dụng 3DES sẽ không thể gửi email đến tài khoản Gmail.

Để xác định người gửi nào và lưu lượng truy cập email nào bị ảnh hưởng bởi DES, bạn nên Thiết lập tính năng xuất nhật ký dịch vụ sang BigQuery. Tạo một báo cáo BigQuery cho biết thuật toán mật mã TLS nào được sử dụng cho các kết nối an toàn đến máy chủ SMTP. Kiểm tra trường có tên là message_info.connection_info.smtp_tls_cipher để biết các thuật toán mật mã TLS được sử dụng cho email của bạn. Giá trị hiển thị trong trường này cho biết việc sử dụng thuật toán mật mã 3DES là DES-CBC3-SHA. Mặc dù 3DES không phải là một phần của tên thuật toán mật mã, nhưng đây là thuật toán mật mã 3DES.