Gmail SMTP TLS 连接的加密算法

此页面会得到积极维护,并体现 Gmail 当前的 TLS 和加密套件支持情况。

加密算法是指通过传输层安全协议 (TLS) 提高网络连接安全性的算法。加密算法通常分为以下 3 种类型:

  • 密钥交换算法 :在两台设备之间交换密钥。该密钥用于加密和解密在两台设备之间发送的消息。
  • 批量加密算法 :对通过 TLS 连接发送的数据进行加密。
  • MAC 算法 :验证已发送的数据在传输的过程中没有发生变化。

此外,还有包含签名的加密算法以及对服务器或客户端进行身份验证的加密算法。详细了解 Gmail 和 TLS 连接

支持 TLS 1.0、1.1、3DES 和其他安全性较低的 TLS 连接

自 2025 年 5 月起,Gmail 不再支持对入站协商使用三重数据加密标准 (3DES)。Gmail 将继续支持对出站协商使用 3DES。

Gmail 始终会尝试使用最新最安全的 TLS 版本,并且在有更安全的版本可用时不会使用安全性较低的版本。不过,若不支持或无法使用更安全的 TLS 版本,Gmail SMTP 传送会支持安全性较低的 TLS 版本以实现兼容性。Gmail 支持的安全性较低的 TLS 版本包括 TLS 1.0、TLS 1.1 和 3DES(仅限出站)。

为防止恶意用户强制使用安全性较低的 TLS 版本建立连接,连接协商始终处于加密状态。

您可以酌情在 Google 管理控制台中添加内容合规性设置,以拒绝未使用 TLS 1.2 或更高版本的连接所发出的消息。请参阅下文中的详细步骤

TLS 协商的加密算法

Google 的 SMTP 服务器接受以下加密算法进行传输层安全协议 (TLS) 协商。

TLS 协商也称为 TLS 握手。在握手期间,通信各方会对彼此进行确认、验证并对将使用的加密算法和会话密钥达成一致。

以下 TLS 协商的加密算法列表更新于 2025 年 5 月。

传输层安全协议 (TLS) 1.3

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS 1.2

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS 1.1 和 TLS 1.0

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

出站服务器的加密算法

下方所述的是 Gmail 出站服务器首选的加密算法。

Gmail 会告知接收邮件服务器其支持 TLS 1.0、1.1、1.2 和 1.3 版, 接着,接收邮件服务器会决定使用哪个 TLS 版本进行连接。

Google 不支持 SSLv3。

以下出站服务器的加密算法列表更新于 2020 年 4 月。

TLS_AES_128_GCM_SHA256

TLS_AES_256_GCM_SHA384

TLS_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_AES_128_GCM_SHA256

TLS_RSA_WITH_AES_256_GCM_SHA384

TLS_RSA_WITH_AES_128_CBC_SHA

TLS_RSA_WITH_AES_256_CBC_SHA

TLS_RSA_WITH_3DES_EDE_CBC_SHA

拒绝低于 TLS 1.2 的不安全连接

请按照以下步骤操作,将 Gmail SMTP 连接配置为使用 TLS 1.2 或更高版本。添加此设置后,系统会拒绝更多收到的邮件,因此不会将被拒绝的邮件递送给收件人。如需详细了解内容 合规性设置,请参阅设置高级电子邮件内容 过滤的规则。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 应用 然后 Google Workspace 然后 Gmail 然后 法规遵从

    需要拥有“Gmail 设置”管理员权限。

  2. (可选)在左侧选择单位。
  3. 在“法规遵从”部分中,滚动到内容合规性 设置,将光标悬停在该设置上,然后点击配置 。如果此设置已经过配置,请将光标悬停在此设置上,然后点击修改再添加一项

  4. 添加 设置 框中,执行以下步骤:

    设置选项 您需要采取的措施
    内容合规性

    为设置输入说明,例如“始终使用 TLS 1.2”
    受影响的电子邮件 选择入站内部 - 接收
    添加表达式以拒绝 TLS 1.0 连接
    1. 前往表达式表格下方或进入该表格中,点击添加。随即会出现添加 设置 框。
    2. 在该框的顶部,点击菜单 ,然后选择 高级内容匹配。在位置下,选择完整标头
    3. 匹配类型下,选择匹配正则表达式。 系统会显示正则表达式选项。
    4. 正则表达式下,输入以下表达式:^Received:.*\(version=TLS1 cipher=
    5. 正则表达式说明 下,输入一个描述性名称,例如匹配 TLS 1.0
    6. 最低相符项目数字段留空。
    7. 添加设置 框的底部,点击保存 。新表达式会显示在表达式 表格中。
    如果上面的表达式匹配,请执行以下操作

    如果上述任一表达式匹配,则执行此操作。

    1. 选择拒绝邮件
    2. 自定义拒绝通知下方,输入当发件人的邮件因设置而被拒收时收到的消息文本,例如:此服务器需要 TLSv1.1 或更高版本
    显示选项
    1. 如需显示更多设置选项,请点击显示选项
    2. B. 受影响的账号类型 部分,选择用户无法识别/无限别名

  5. 添加设置 框的底部,点击保存 。 更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情 您可以在管理控制台审核 日志中监控更改。

检查通过 3DES 连接发送的邮件流量

自 2025 年 5 月起,Gmail 不再支持对入站 SMTP 连接使用 3DES,使用 3DES 的邮件发件人将无法将邮件递送到 Gmail 账号。

如需确定哪些发件人和哪些邮件流量受 DES 影响, 建议您设置将服务日志导出至 BigQuery的功能。创建一个 BigQuery 报告,以了解哪些 TLS 加密用于安全连接到 SMTP 服务器。查看名为 message_info.connection_info.smtp_tls_cipher 的字段,了解邮件使用的 TLS 加密。此字段中显示的值表示使用 3DES 加密,值为 DES-CBC3-SHA虽然 3DES 不是 加密名称的一部分,但这是一种 3DES 加密。