我們會積極維護這個頁面,反映 Gmail 目前支援的 TLS 和密碼。
加密是一種演算法,可協助保護採用傳輸層安全標準 (TLS) 的網路連線,常見類型有以下 3 種:
- 金鑰交換演算法:可在兩部裝置間交換金鑰。金鑰會對兩部裝置間傳送的訊息進行加密或解密。
- 大量加密演算法:可為透過 TLS 連線傳送的資料進行加密。
- MAC 演算法:可驗證資料在傳送過程中是否有任何變更。
此外,也有內含簽名的加密,以及可驗證伺服器或用戶端的加密。進一步瞭解 Gmail 和傳輸層安全標準 (TLS) 連線。
支援 TLS 1.0、1.1、3DES 和其他較不安全的 TLS 連線
2025 年 5 月起,Gmail 不再支援使用三重資料加密標準 (3DES) 的內送交涉,但會繼續支援使用 3DES 的外寄交涉。
Gmail 一律會嘗試使用最新、最安全的 TLS 版本,且在有更安全的版本可用時,不會使用安全性較低的版本。不過,如果系統不支援或無法提供較安全的 TLS 版本,Gmail SMTP 傳送功能會支援較不安全的 TLS 版本,以確保相容性。Gmail 支援的 TLS 版本中,安全性較低的版本包括 TLS 1.0、TLS 1.1 和 3DES 加密 (僅限外寄)。
為避免惡意使用者強制使用安全性較低的 TLS 版本連線,連線協商程序一律會加密。
您可以選擇在 Google 管理控制台中新增內容規範設定,拒絕來自未使用 TLS 1.2 以上版本連線的郵件。請參閱下文的詳細步驟
傳輸層安全標準 (TLS) 交涉加密
Google 的 SMTP 伺服器接受這類傳輸層安全標準 (TLS) 交涉的加密。
傳輸層安全標準 (TLS) 交涉也稱為 TLS「握手」。握手期間,建立連線的雙方會彼此進行確認及驗證,並決定要採用何種加密和工作階段金鑰。
這份 TLS 交涉加密清單的更新時間為 2025 年 5 月。
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.1 和 TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
外寄伺服器加密
Gmail 外寄伺服器偏好使用這類加密。
Gmail 會告知收件伺服器其支援傳輸層安全標準 (TLS) 1.3、1.2、1.1 和 1.0 版。接著,收件伺服器會決定要使用何種 TLS 版本進行連線。
Google 不支援 SSLv3。
這份外寄郵件伺服器加密清單的更新時間為 2020 年 4 月。
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
拒絕安全性低於 TLS 1.2 的連線
請按照下列步驟設定 Gmail SMTP 連線,以便使用 TLS 1.2 以上版本。新增這項設定後,系統會拒絕更多收到的郵件,且不會傳送給收件者。如要進一步瞭解內容規範設定,請參閱「設定進階電子郵件內容篩選規則」。
-
在 Google 管理控制台中,依序前往「選單」
「應用程式」「Google Workspace」「Gmail」「法規遵循」。必須具備 Gmail 設定管理員權限。
- (選用) 在左側選取機構。
- 捲動至「法規遵循」部分的「內容規範」設定,將滑鼠游標懸停至該設定上,然後按一下「設定」。如果這項設定已配置完畢,請將滑鼠游標懸停在設定上,然後按一下「編輯」或「新增其他」。
在「新增設定」方塊中執行下列步驟:
設定選項 建議行動 在「內容規範」下方 輸入設定說明,例如「一律使用 TLS 1.2」
受影響的電子郵件 選取「內送」和「內部 - 接收」。 新增運算式來拒絕 TLS 1.0 連線 - 在「運算式」表格下方或表格中,按一下「新增」。系統隨即會顯示「新增設定」方塊。
- 點按方塊頂端的選單
,然後選取「進階內容比對」。在「位置」下方,選取「完整標頭」。 - 在「比對類型」下方,選取「與規則運算式相符」。系統會顯示規則運算式選項。
- 在「規則運算式」Regexp下方,輸入這個運算式:
^Received:.*\(version=TLS1 cipher= - 在「規則運算式說明」下方輸入描述性名稱,例如「比對 TLS 1.0」。
- 將「相符項目數下限」欄位留空。
- 在底部的「新增設定」方塊中點選「儲存」。新的運算式會顯示在「條件運算式」表格中。
如果符合上述條件運算式,則執行下列動作 如果符合上述任一條件運算式,便適用此動作。
- 選取「拒絕郵件」。
- 在「自訂拒絕通知」下方,輸入寄件者的郵件因設定而遭拒時,寄件者會收到的訊息文字,例如:這個伺服器需要 TLSv1.1 以上版本。
顯示選項 - 如要顯示更多設定選項,請按一下「顯示選項」。
- 在「B. 受影響的帳戶類型,選取「使用者」和「不明/全部接收的地址」。
在底部的「新增設定」方塊中點選「儲存」。 變更最多可能需要 24 小時才會生效,但通常不會這麼久。瞭解詳情 您可以在管理控制台稽核記錄中監控先前的變更。
檢查透過 3DES 連線傳送的電子郵件流量
2025 年 5 月起,Gmail 不再支援使用 3DES 的內送 SMTP 連線,使用 3DES 的電子郵件寄件者也無法將郵件傳送至 Gmail 帳戶。
如要判斷哪些寄件者和電子郵件流量受到 DES 影響,建議您設定將服務記錄匯出到 BigQuery 的功能。建立 BigQuery 報表,瞭解用於對 SMTP 伺服器建立安全連線的 TLS 密碼。請查看名為 message_info.connection_info.smtp_tls_cipher 的欄位,瞭解電子郵件使用的 TLS 加密。如果電子郵件使用 3DES 加密,這個欄位顯示的值會是 DES-CBC3-SHA。雖然名稱中未包含 3DES,但這是 3DES 加密。