Шифры для подключений по протоколу TLS в Gmail

Эта страница регулярно обновляется и отражает текущую поддержку TLS и шифров в Gmail.

Шифры – это алгоритмы, которые помогают защищать сетевые подключения, использующие протокол TLS.Шифры обычно бывают трех типов:

• Алгоритм обмена ключами. При его использовании двум устройствам предоставляется ключ. Ключ зашифровывает и расшифровывает сообщения, которыми обмениваются устройства.
• Алгоритм массового шифрования. Шифрует данные, которые отправляются через подключение TLS.
• Алгоритм имитовставки. Проверяет, не были ли изменены данные во время передачи.

Также существуют шифры, которые включают подписи и выполняют аутентификацию серверов или клиентов. Подробнее о Gmail и подключениях по протоколу TLS…

Поддержка TLS 1.0, 1.1, 3DES и других менее защищенных подключений по протоколу TLS

В Gmail всегда используются самые новые и наиболее защищенные версии TLS из всех доступных. Но если более защищенные версии TLS не поддерживаются или недоступны, для обеспечения совместимости доставка по протоколу SMTP в Gmail поддерживает менее защищенные версии TLS. К ним относятся TLS 1.0, TLS 1.1 и шифры 3DES.

Чтобы злоумышленники не могли принудительно использовать менее безопасные версии TLS, согласование подключений всегда шифруется.

При необходимости в консоли администратора Google можно добавить настройку "Соответствие содержания", чтобы отклонять сообщения из подключений, в которых не используется протокол TLS версии 1.2 или выше. Пошаговые инструкции приведены ниже.

Шифры для согласования TLS

SMTP-серверы Google принимают шифры для согласования протокола Transport Layer Security (TLS).

Согласование TLS также называют рукопожатием TLS. Во время рукопожатия взаимодействующие стороны распознают и проверяют друг друга, а затем решают, какие шифры и ключи сеанса будут использоваться.

Список шифров для согласования TLS был обновлен в марте 2023 года.

Шифры серверов исходящей почты

Ниже перечислены шифры, которым отдают предпочтение серверы исходящей почты Gmail.

Сервис Gmail сообщает серверу получателя, что поддерживаются версии TLS 1.3, 1.2, 1.1 и 1.0. Сервер получателя определяет, какая версия TLS будет использоваться для подключения.

Google не поддерживает SSLv3.

Список шифров для серверов исходящей почты был обновлен в апреле 2020 года.

​Отклонение подключений, менее защищенных, чем 3DES или TLS 1.2

Чтобы настроить для SMTP-подключений Gmail использование TLS версии 1.2 или более защищенной, выполните указанные ниже действия. При добавлении этой настройки количество входящих сообщений, отклоненных и не доставленных получателям, увеличится. Больше информации о настройке "Соответствие содержания" можно найти в статье Как задать правила для расширенной фильтрации контента электронных писем.

1. Войдите в консоль администратора Google как администратор.

   Войти в консоль администратора можно, только если вы используете аккаунт администратора.

2. Нажмите на значок меню Приложения > Google Workspace > Gmail > Соответствие нормативным требованиям.

   У вас должны быть права администратора с доступом к настройкам Gmail.

3. При необходимости выберите организацию в левой части страницы.

4. В разделе "Соблюдение нормативных требований" прокрутите страницу до параметра Соответствие содержания, наведите на него указатель и нажмите Настроить. Если он уже настроен, нажмите Изменить или Добавить.

5. В окне Добавление настроек выполните следующие шаги:

   Параметр	Что вам нужно сделать
   В разделе Соответствие содержания	Введите описание настройки, например Всегда использовать TLS 1.2.
   Типы сообщений	Выберите Входящие и Внутренние входящие.
   Добавьте выражение для отклонения подключений по протоколу TLS 1.0	Под таблицей Выражения нажмите Добавить. Откроется окно Добавление настроек. Вверху этого окна откройте меню, нажав на значок , и выберите Соответствие по расширенному содержанию. В раскрывающемся списке Местоположение выберите Полные заголовки. В раскрывающемся списке Тип соответствия выберите Соответствует регулярному выражению. Откроются параметры регулярных выражений. В поле Регулярное выражение введите ^Received:.*\(version=TLS1 cipher= В поле Описание регулярного выражения введите понятное название, например Соответствие TLS 1.0. Поле Наименьшее количество совпадений оставьте пустым. В нижней части окна Добавление настроек нажмите Сохранить. Новое выражение появится в таблице Выражения.
   Добавьте выражение для отклонения подключений с использованием шифров 3DES	Под таблицей Выражения нажмите Добавить. Откроется окно Добавление настроек. Вверху этого окна откройте меню, нажав на значок , и выберите Соответствие по расширенному содержанию. В раскрывающемся списке Местоположение выберите Полные заголовки. В раскрывающемся списке Тип соответствия выберите Соответствует регулярному выражению. Откроются параметры регулярных выражений. В поле Регулярное выражение введите следующий код: ^Received:.\scipher=[A-Z,0-9,]*DES[A-Z,0-9,]\s В поле Описание регулярного выражения введите понятное название, например Соответствие шифру DES. Поле Наименьшее количество совпадений оставьте пустым. В нижней части окна Добавление настроек нажмите Сохранить. Новое выражение появится в таблице Выражения.
   Если указанные выше выражения совпадают, выполнить следующие действия	Это действие применяется при совпадении с одним из приведенных выше выражений. Выберите Отклонить сообщение. В поле Уведомление об отклонении введите текст сообщения, которое отправители получат, если их сообщение будет отклонено, например: Этот сервер требует использования TLS версии 1.1 или выше и не поддерживает DES/3DES.
   Показать параметры	Чтобы посмотреть дополнительные параметры, нажмите Показать параметры. В разделе B. Типы аккаунтов выберите Пользователи и Нераспознанные/для приема всей почты домена.

6. В нижней части окна Добавление настроек нажмите Сохранить.
   Изменения вступают в силу в течение 24 часов (обычно быстрее). Подробнее… Их можно отслеживать через журнал аудита в консоли администратора.