Deze pagina wordt actief onderhouden en weerspiegelt de huidige TLS- en coderingsondersteuning van Gmail.
Coderingen zijn algoritmen die netwerkverbindingen beveiligen waarin Transport Layer Security (TLS) wordt gebruikt. Er zijn 3 typen coderingen die het meest worden gebruikt:
- Sleuteluitwisselingsalgoritme: Wisselt een sleutel uit tussen twee apparaten. De sleutel versleutelt en ontsleutelt berichten die tussen de twee apparaten worden verzonden.
- Bulkversleutelingsalgoritme: Versleutelt de gegevens die via de TLS-verbinding worden verzonden.
- MAC-algoritme: Controleert of verzonden gegevens tijdens de overdracht niet worden gewijzigd.
Er zijn ook coderingen die handtekeningen bevatten en die servers of clients verifiëren. Meer informatie over Gmail- en TLS-verbindingen.
Ondersteuning voor TLS 1.0, 1.1, 3DES en andere minder goed beveiligde TLS-verbindingen
Gmail probeert altijd de nieuwste, meest beveiligde TLS-versies te gebruiken en gebruikt geen minder veilige versies als er veiligere versies beschikbaar zijn. Als er geen veiligere TLS-versies worden ondersteund of beschikbaar zijn, ondersteunt de SMTP-bezorging van Gmail echter ook minder goed beveiligde TLS-versies voor de compatibiliteit. Minder goed beveiligde TLS-versies die Gmail ondersteunt, zijn onder andere TLS 1.0-, TLS 1.1- en 3DES-coderingen.
Verbindingsonderhandelingen zijn altijd versleuteld om te voorkomen dat kwaadwillende gebruikers een verbinding afdwingen om minder goed beveiligde TLS-versies te gebruiken.
U kunt optioneel een instelling voor content-compliance toevoegen in uw Google Beheerdersconsole om berichten te weigeren van verbindingen die geen TLS 1.2 of hoger gebruiken. Volg de gedetailleerde stappen hieronder
Coderingen voor TLS-onderhandeling
De SMTP-servers van Google accepteren deze coderingen voor Transport Layer Security (TLS)-onderhandeling.
TLS-onderhandeling wordt ook wel een TLS-handshake genoemd. Tijdens de handshake erkennen de communicerende partijen elkaar, verifiëren ze elkaar en komen ze overeen welke coderingen en sessiesleutels er worden gebruikt.
Deze lijst met coderingen voor TLS-onderhandelingen is in maart 2023 geüpdatet.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS en TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Coderingen voor servers voor uitgaand verkeer
Deze coderingen krijgen de voorkeur op uitgaande Gmail-servers.
Gmail laat de ontvangende server weten dat deze TLS-versies 1.3, 1.2, 1.1 en 1.0 ondersteunt. De ontvangende server bepaalt vervolgens welke TLS-versie wordt gebruikt voor de verbinding.
SSLv3 wordt niet ondersteund door Google.
Deze lijst met coderingen voor servers voor uitgaand verkeer is in april 2020 geüpdatet.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Verbindingen weigeren die minder goed beveiligd zijn dan 3DES of TLS 1.2
Volg deze stappen om de SMTP-verbindingen van Gmail zo in te stellen dat ze TLS 1.2 of hoger gebruiken. Als u deze instelling toevoegt, worden er meer inkomende berichten geweigerd en niet bezorgd bij de ontvangers. Ga naar Regels instellen voor geavanceerde contentfilters voor e-mails voor meer informatie over de instelling Content-compliance.
-
Log in met een beheerdersaccount op de Google Beheerdersconsole.
Als u geen beheerdersaccount gebruikt, heeft u geen toegang tot de Beheerdersconsole.
-
Ga naar Menu
Apps > Google Workspace > Gmail > Compliance.
Hiervoor is het beheerdersrecht Gmail-instellingen vereist.
-
(Optioneel) Selecteer links de juiste organisatie-eenheid.
-
Scroll naar de instelling Content-compliance in het gedeelte Compliance. Plaats de cursor op de instelling en klik op Configureren. Als de instelling al is geconfigureerd, plaatst u de cursor op de instelling en klikt u op Bewerken of Nog een toevoegen.
-
Voer in het vak Instelling toevoegen de volgende stappen uit:
Instellingsoptie Wat te doen Onder Content-compliance Voer een beschrijving in voor de instelling, bijvoorbeeld Altijd TLS 1.2 gebruiken.
E-mailberichten waarvoor dit geldt Selecteer Inkomend en Intern - ontvangen. Expressie toevoegen om TLS 1.0-verbindingen te weigeren - Klik onder of in de tabel Expressies op Toevoegen. Het vak Instelling toevoegen wordt weergegeven.
- Klik bovenaan het vak op het menu
en selecteer Geavanceerde contentovereenkomst. Selecteer Volledige berichtkoppen onder Locatie.
- Selecteer Komt overeen met regex onder Overeenkomsttype. De Regexp-opties worden weergegeven.
- Voer onder Regexp de volgende expressie in:
^Received:.*\(version=TLS1 cipher=) - Voer onder Regex-beschrijving een beschrijvende naam in, bijvoorbeeld Overeenkomst met TLS 1.0.
- Laat het veld Minimumaantal overeenkomsten leeg.
- Klik onder in het vak Instelling toevoegen op Opslaan. De nieuwe expressie staat nu in de tabel Expressies.
Expressie toevoegen om 3DES-verbindingen te weigeren - Klik onder of in de tabel Expressies op Toevoegen. Het vak Instelling toevoegen wordt weergegeven.
- Klik bovenaan het vak op het menu
- Selecteer Volledige berichtkoppen onder Locatie.
- Selecteer Komt overeen met regex onder Overeenkomsttype. De Regexp-opties worden weergegeven.
- Voer onder Regexp de volgende expressie in: ^Received:.\scipher=[A-Z,0-9,]*DES[A-Z,0-9,]\s
- Voer onder Regex-beschrijving een beschrijvende naam in, bijvoorbeeld Overeenkomst met DES-codering.
- Laat het veld Minimumaantal overeenkomsten leeg.
- Klik onder in het vak Instelling toevoegen op Opslaan. De nieuwe expressie staat nu in de tabel Expressies.
Doe het volgende als de bovenstaande expressies overeenkomen Deze actie is van toepassing als een van de bovenstaande expressies overeenkomt.
- Selecteer Bericht weigeren.
- Voer onder Aangepast weigeringsbericht de tekst in van het bericht dat afzenders krijgen als hun bericht wordt geweigerd vanwege de instelling, bijvoorbeeld: Voor deze server is TLS v1.1 of hoger vereist en DES/3DES wordt niet ondersteund.
Opties tonen - Klik op Opties tonen om meer instellingsopties weer te geven.
- Onder B. Accounttypen waarop dit van toepassing is selecteert u Gebruikers en Niet herkend/verzameladres.
-
Klik onder in het vak Instelling toevoegen op Opslaan.Wijzigingen verwerken kan tot 24 uur duren, maar meestal gaat het sneller. Meer informatieU kunt wijzigingen controleren in het Controlelogboek van de Beheerdersconsole.
