Cómo enviar correos electrónicos a través de una conexión TLS segura

La seguridad de la capa de transporte (TLS) es un protocolo que encripta los mensajes de correo electrónico para garantizar la seguridad y la privacidad. TLS impide el acceso no autorizado a los mensajes cuando se envían a través de conexiones a Internet.

De forma predeterminada, Gmail siempre intenta enviar mensajes a través de una conexión TLS segura. Una conexión TLS segura de extremo a extremo requiere que tanto el servidor de envío como el de recepción usen TLS. Si el servidor receptor no usa TLS, Gmail seguirá enviando mensajes, pero la conexión no será segura.

Para usar TLS en los mensajes que se envían a los dominios y las direcciones que especifiques, usa el parámetro de configuración Cumplimiento del transporte seguro (TLS). Este parámetro de configuración incluye opciones para solicitar un certificado firmado por una CA, verificar el nombre de host asociado con el certificado y probar la conexión TLS.

Cuando redactes un mensaje nuevo en Gmail, una imagen de candado junto a la dirección del destinatario significa que el mensaje se enviará con TLS. El candado solo se muestra en las cuentas con una suscripción a Google Workspace que admite la encriptación S/MIME.

Google Workspace admite las versiones 1.0, 1.1, 1.2 y 1.3 de TLS.

Antes de comenzar

Verifica las versiones de TLS admitidas para los estándares que se usan en tu organización

Antes de configurar TLS en la Consola del administrador de Google, verifica las versiones de TLS que admiten los estándares de cumplimiento, seguridad o de otro tipo que se usan en tu organización. No todos los estándares admiten las versiones de TLS que admite Google Workspace.

Si los estándares que se usan en tu organización requieren TLS, habilítalo con el parámetro de configuración Cumplimiento del transporte seguro (TLS).

Mensajes enviados a servidores que no usan TLS o recibidos de ellos

El parámetro de configuración Cumplimiento del transporte seguro (TLS) afecta la entrega de mensajes enviados a través de conexiones que no son TLS para las direcciones y los dominios especificados en el parámetro de configuración.

Mensajes salientes Los mensajes no se entregan y se rebotan. Recibirás un informe de entrega no realizada. Gmail solo intenta enviar mensajes a través de una conexión que no es TLS una vez.
Mensajes entrantes Se rechazan los mensajes entrantes de conexiones que no son TLS. No recibirás notificaciones. El remitente recibe un informe de entrega no realizada.

Agrega un parámetro de configuración de cumplimiento de TLS

  1. En la Consola del administrador de Google, ve a Menú y luego Appsy luegoGoogle Workspacey luegoGmaily luegoCumplimiento.

    Es necesario tener el privilegio de administrador de configuración de Gmail.

  2. A la izquierda, selecciona una unidad organizativa.
  3. Selecciona Cumplimiento del transporte seguro (TLS) y haz clic en Configurar. Para agregar más parámetros de configuración de TLS, haz clic en Agregar otro.

  4. En el cuadro Agregar parámetro de configuración, ingresa un nombre para el parámetro de configuración y sigue estos pasos:

    Configuración Qué hacer
    1. Mensajes de correo electrónico que se verán afectados

    Selecciona Entrante, Saliente o ambos. Debes usar una lista de direcciones para aplicar TLS a los mensajes entrantes y salientes. Establecerás la lista de direcciones en el siguiente paso.

    Para la coincidencia de listas de direcciones, Gmail usa el remitente De: para los mensajes entrantes y los destinatarios para los mensajes salientes. En el caso de los mensajes entrantes, el remitente De: debe coincidir exactamente con una dirección o un dominio en el parámetro de configuración. Se verifican los requisitos de autenticación para los mensajes salientes.

    Selecciona Salientes: Mensajes que exigen el transporte seguro por medio de otro parámetro de configuración para los mensajes salientes que tienen otros parámetros de configuración de conexión segura. Por ejemplo, puedes configurar el enrutamiento de correo electrónico para enviar mensajes salientes a través de una conexión segura o establecer una ruta segura alternativa para los mensajes salientes.
    2. Usa TLS para el transporte seguro cuando corresponda con estos dominios o direcciones de correo electrónico.

    Para seleccionar una lista de direcciones existente que tenga los dominios o las direcciones de correo electrónico que requieren conexiones TLS, sigue estos pasos:

    1. Haz clic en Usar lista existente. Se abrirá el cuadro de lista Seleccionar dirección.
    2. Selecciona una o más listas de direcciones para usar con el parámetro de configuración de TLS.
    3. Haz clic en la X en la esquina superior izquierda para cerrar el cuadro Select address list.

    Sigue estos pasos para crear una lista de direcciones nueva con los dominios o las direcciones de correo electrónico que requieren conexiones TLS:

    1. Haz clic en Crear o editar una lista. La página Administrar las listas de direcciones se abrirá en una pestaña nueva.
    2. En la página Administrar las listas de direcciones, haz clic en Agregar una lista de direcciones. Se abrirá el cuadro Agregar lista de direcciones.
    3. En el campo Nombre, ingresa un nombre único para la lista de direcciones.
    4. Para agregar direcciones o dominios a la nueva lista de direcciones, haz clic en Agregar direcciones de forma masiva o Agregar dirección.
    5. Ingresa direcciones de correo electrónico o nombres de dominio. Separa las entradas con un espacio o una coma.
    6. Haz clic en Guardar y, luego, vuelve a la pestaña Cumplimiento para terminar de configurar TLS.

    Para obtener más información sobre cómo crear y usar listas de direcciones, consulta Cómo aplicar la configuración de Gmail a remitentes o dominios específicos.
    3. Opciones

    Selecciona las opciones de configuración:

    Exigir un certificado de CA firmado (recomendado): Requiere que el servidor SMTP del cliente presente un certificado firmado por una autoridad certificadora de confianza.

    Validar el nombre de host del certificado (recomendado): Verifica que el nombre de host receptor coincida con el certificado que presenta el servidor SMTP.
    Probar la conexión TLS (Opcional) Haz clic en Probar conexión TLS para verificar la conexión con el servidor de correo electrónico receptor.

  5. En la parte inferior del cuadro Agregar parámetro de configuración, haz clic en Guardar. El nuevo parámetro de configuración aparecerá en la tabla Parámetros de configuración de cumplimiento del transporte seguro (TLS).

Los cambios pueden tardar hasta 24 horas en aplicarse, aunque suelen ocurrir antes. Más información

Puedes supervisar los cambios en el Registro de auditoría de la Consola del administrador.

Soluciona problemas relacionados con errores de TLS

Si recibes un error cuando configuras TLS, sigue las recomendaciones de esta sección.

Si haces clic en Probar la conexión TLS y recibes un error de validación del certificado, los mensajes que se envíen desde tu organización se rebotarán, aunque hayas podido guardar la nueva ruta de correo.

Para corregir el error, prueba una o más de las siguientes soluciones:

  • Si tu servidor de correo electrónico tiene más de un nombre de host, asegúrate de usar el que aparece en el certificado del servidor.
  • Si tienes acceso al servidor de correo en la ruta, instala un certificado nuevo de una autoridad certificadora de confianza. Verifica que el certificado nuevo tenga el nombre de host correcto.
  • Si usas un servicio de retransmisión de correo de terceros, comunícate con el proveedor de servicios para solucionar este error.
  • Desmarca la casilla de verificación de una o más de estas opciones:
    • Exigir que el correo electrónico se transmita a través de una conexión de transporte segura (TLS)
    • Exigir un certificado firmado por la CA
    • Validar el nombre de host del certificado

    Importante: Te recomendamos que mantengas estas opciones activadas siempre que sea posible para que se pueda verificar la conexión.

Envía correos electrónicos a través de una ruta segura alternativa (TLS)