Deze pagina wordt actief onderhouden en weerspiegelt de huidige TLS- en coderingsondersteuning van Gmail.
Coderingen zijn algoritmen die netwerkverbindingen beveiligen waarin Transport Layer Security (TLS) wordt gebruikt. Er zijn 3 typen coderingen die het meest worden gebruikt:
- Sleuteluitwisselingsalgoritme: Wisselt een sleutel uit tussen twee apparaten. De sleutel versleutelt en ontsleutelt berichten die tussen de twee apparaten worden verzonden.
- Bulkversleutelingsalgoritme: Versleutelt de gegevens die via de TLS-verbinding worden verzonden.
- MAC-algoritme: Controleert of verzonden gegevens tijdens de overdracht niet worden gewijzigd.
Er zijn ook coderingen die handtekeningen bevatten en die servers of clients verifiëren. Meer informatie over Gmail- en TLS-verbindingen.
Ondersteuning voor TLS 1.0, 1.1, 3DES en andere minder goed beveiligde TLS-verbindingen
Vanaf mei 2025 ondersteunt Gmail de Triple Data Encryption Standard (3DES) niet meer voor inkomende onderhandelingen. Gmail blijft 3DES ondersteunen voor uitgaande onderhandelingen.
Gmail probeert altijd de nieuwste, meest beveiligde TLS-versies te gebruiken en gebruikt geen minder veilige versies als er veiligere versies beschikbaar zijn. Als er geen veiligere TLS-versies worden ondersteund of beschikbaar zijn, ondersteunt de SMTP-bezorging van Gmail echter ook minder goed beveiligde TLS-versies voor de compatibiliteit. Minder goed beveiligde TLS-versies die Gmail ondersteunt, zijn onder andere TLS 1.0-, TLS 1.1- en 3DES (alleen uitgaand).
Verbindingsonderhandelingen zijn altijd versleuteld om te voorkomen dat kwaadwillende gebruikers een verbinding afdwingen om minder goed beveiligde TLS-versies te gebruiken.
U kunt optioneel een instelling voor content-compliance toevoegen in uw Google Beheerdersconsole om berichten te weigeren van verbindingen die geen TLS 1.2 of hoger gebruiken. Volg de gedetailleerde stappen hieronder
Coderingen voor TLS-onderhandeling
De SMTP-servers van Google accepteren deze coderingen voor TLS-onderhandelingen (Transport Layer Security).
TLS-onderhandeling wordt ook wel een TLS-handshake genoemd. Tijdens de handshake erkennen de communicerende partijen elkaar, verifiëren ze elkaar en komen ze overeen welke coderingen en sessiesleutels er worden gebruikt.
Deze lijst met coderingen voor TLS-onderhandelingen is in mei 2025 geüpdatet.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS en TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Coderingen voor servers voor uitgaand verkeer
Deze coderingen krijgen de voorkeur op uitgaande Gmail-servers.
Gmail laat de ontvangende server weten dat deze TLS-versies 1.3, 1.2, 1.1 en 1.0 ondersteunt. De ontvangende server bepaalt vervolgens welke TLS-versie wordt gebruikt voor de verbinding.
SSLv3 wordt niet ondersteund door Google.
Deze lijst met coderingen voor servers voor uitgaand verkeer is in april 2020 geüpdatet.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Verbindingen weigeren die minder goed beveiligd zijn dan TLS 1.2
Volg deze stappen om de SMTP-verbindingen van Gmail zo in te stellen dat ze TLS 1.2 of hoger gebruiken. Als u deze instelling toevoegt, worden er meer inkomende berichten geweigerd en niet bezorgd bij de ontvangers. Ga naar Regels instellen voor geavanceerde contentfilters voor e-mails voor meer informatie over de instelling Content-compliance.
-
Log in met een beheerdersaccount op de Google Beheerdersconsole.
Als je geen beheerdersaccount gebruikt, heb je geen toegang tot de Beheerdersconsole.
-
Ga naar Menu
Apps > Google Workspace > Gmail > Compliance.
Hiervoor is het beheerdersrecht Gmail-instellingen vereist.
-
(Optioneel) Selecteer links de juiste organisatie-eenheid.
-
Scroll naar de instelling Content-compliance in het gedeelte Compliance. Plaats de cursor op de instelling en klik op Configureren. Als de instelling al is geconfigureerd, plaatst u de cursor op de instelling en klikt u op Bewerken of Nog een toevoegen.
-
Voer in het vak Instelling toevoegen de volgende stappen uit:
Instellingsoptie Wat te doen Onder Content-compliance Voer een beschrijving in voor de instelling, bijvoorbeeld Altijd TLS 1.2 gebruiken.
E-mailberichten waarvoor dit geldt Selecteer Inkomend en Intern - ontvangen. Expressie toevoegen om TLS 1.0-verbindingen te weigeren - Klik onder of in de tabel Expressies op Toevoegen. Het vak Instelling toevoegen wordt weergegeven.
- Klik bovenaan het vak op het menu
en selecteer Geavanceerde contentovereenkomst. Selecteer Volledige berichtkoppen onder Locatie.
- Selecteer Komt overeen met regex onder Overeenkomsttype. De Regexp-opties worden weergegeven.
- Voer onder Regexp deze expressie in:
^Received:.*\(version=TLS1 cipher= - Voer onder Regex-beschrijving een beschrijvende naam in, bijvoorbeeld Overeenkomst met TLS 1.0.
- Laat het veld Minimumaantal overeenkomsten leeg.
- Klik onder in het vak Instelling toevoegen op Opslaan. De nieuwe expressie staat nu in de tabel Expressies.
Doe het volgende als de bovenstaande expressies overeenkomen Deze actie wordt toegepast als een van de bovenstaande expressies overeenkomt.
- Selecteer Bericht weigeren.
- Voer onder Aangepast weigeringsbericht de tekst in van het bericht dat afzenders krijgen als hun bericht wordt geweigerd vanwege de instelling, bijvoorbeeld: Voor deze server is TLS v1.1 of hoger vereist.
Opties tonen - Klik op Opties tonen om meer instellingsopties te tonen.
- Onder B. Accounttypen waarop dit van toepassing is selecteert u Gebruikers en Niet herkend/verzameladres.
-
Klik onder in het vak Instelling toevoegen op Opslaan.Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatieU kunt wijzigingen controleren in het Controlelogboek van de beheerdersconsole.
E-mailverkeer controleren dat via 3DES-verbindingen wordt gestuurd
Vanaf mei 2025 ondersteunt Gmail 3DES niet meer voor inkomende SMTP-verbindingen. E-mailafzenders die 3DES gebruiken, kunnen geen e-mails meer bezorgen bij Gmail-accounts.
Als u wilt bepalen welke van uw afzenders en welk e-mailverkeer te maken heeft met DES, raden we u aan servicelogboekexports naar BigQuery in te stellen. Maak een BigQuery-rapport met informatie over welke TLS-coderingen worden gebruikt voor beveiligde verbindingen met SMTP-servers. Controleer het veld message_info.connection_info.smtp_tls_cipher voor de TLS-coderingen die voor je e-mail worden gebruikt. De waarde die in dit veld wordt getoond en die het gebruik van een 3DES-codering aangeeft, is DES-CBC3-SHA. Hoewel 3DES geen deel uitmaakt van de coderingsnaam, is dit een 3DES-codering.
