Requerir que el correo electrónico se transmita a través de una conexión segura TLS

Seguridad en la capa de transporte (TLS) es un protocolo de seguridad que cifra los correos para proteger la privacidad y cumple el papel que antes desempeñaba la capa de conexión segura (SSL). De forma predeterminada, Gmail siempre utiliza el protocolo TLS.

Nota: Cuando los usuarios de G Suite que tienen una suscripción compatible con S/MIME redactan un mensaje, pueden ver un icono de candado gris a la derecha de la dirección del destinatario, lo que indica que se usa cifrado TLS. 

Para crear una conexión segura, tanto los remitentes como los destinatarios deben utilizar TLS. Cuando no se puede crear una conexión segura, Gmail entrega los mensajes a través de conexiones no seguras. Sin embargo, puedes añadir ajustes de TLS de modo que se requiera una conexión segura para enviar o recibir correos electrónicos de dominios o direcciones de correo electrónico específicos.

Importante: Te recomendamos que actives los ajustes de TLS que requieren que Gmail utilice siempre conexiones seguras para enviar y recibir correo electrónico de dominios y direcciones de correo electrónico específicos.

¿Qué ocurre con los correos electrónicos enviados o recibidos de dominios que no utilicen el protocolo TLS?
Correo saliente El correo no se entregará y se devolverá. Recibirás un informe de entrega fallida. Solo se realizará un intento de envío (es decir, no se volverá a intentar).
Correo entrante El correo se rechazará y no recibirás ninguna notificación al respecto, aunque el remitente sí que recibirá un informe de entrega fallida.

Configurar el cumplimiento de TLS

  1. Inicia sesión en la consola de administración de Google.

    Debes utilizar tu cuenta de administrador (no termina en @gmail.com).

  2. En la página principal de la consola de administración, ve a Aplicaciones y luego G Suite y luego Gmail y luego Cumplimiento.

    Nota: Este ajuste puede aparecer en Aplicaciones y luego G Suite y luego Gmail y luego Configuración avanzada.

  3. En la parte izquierda, selecciona una organización.
  4. En la sección Cumplimiento, coloca el cursor sobre Cumplimiento del protocolo TLS o de seguridad de la capa de transporte y haz clic en Configurar. Si ya se ha configurado, coloca el cursor sobre el ajuste y haz clic en Editar o Añadir otro.
  5. Para incluir un nuevo ajuste, introduce una descripción.
  6. Elige mensajes entrantes o salientes.

    Selecciona Mensajes salientes que requieran transporte seguro mediante otra configuración para los mensajes salientes a los que se aplica otra opción de conexión segura. Por ejemplo, puedes configurar un enrutamiento de correo electrónico para que los mensajes salientes se envíen a través de una conexión segura; o bien crear una ruta segura alternativa que deban seguir estos mensajes. Debes crear una lista de dominios o direcciones para requerir que todos los mensajes entrantes o salientes cumplan el protocolo TLS.

  7. Crea una lista con los dominios o las direcciones de correo electrónico que requieran el protocolo TLS para un envío seguro.

    Nota: Crea una lista de dominios o direcciones para requerir que todos los mensajes entrantes o salientes cumplan el protocolo TLS.

    Nota: G Suite comprueba la cabecera "De" del correo recibido y los destinatarios del correo enviado para determinar si son los mismos de la lista de direcciones. Si coincide con un remitente, también se comprueba el requisito de autenticación. Por lo tanto, para requerir que se cumpla el protocolo TLS en los mensajes entrantes, el remitente que figura en la cabecera "De:" de los mensajes debe coincidir exactamente con la dirección o dominio que hayas introducido.

    Consulta más información sobre las listas de direcciones, incluido cómo buscar o consultar todas las entradas de la lista y cómo funcionan las coincidencias con las listas de direcciones.

    1. Haz clic en Utilizar una que ya haya o crear una.
    2. Introduce un nombre de lista y haz clic en Crear.

      Nota: Para usar una lista de remitentes aprobados que ya tengas, haz clic en su nombre.

    3. Coloca el cursor sobre el nombre de la lista y haz clic en Editar.
    4. Haz clic en Añadir "".
    5. Introduce las direcciones de correo electrónico o los nombres de dominio separados por espacios o comas.

    6. Haz clic en Guardar.

  8. Te recomendamos que, con las condiciones establecidas en los pasos 6 y 7, actives estas opciones:
    • Realizar una búsqueda de MX en el host: entrega el correo a los hosts MX asociados al nombre de dominio especificado.
    • Solicitar que el correo electrónico se transmita a través de una conexión TLS segura (opción recomendada): cifra los mensajes entre los servidores de correo de salida y de entrada con el protocolo Seguridad en la capa de transporte (TLS).
    • Requerir certificado firmado por una autoridad de certificación (opción recomendada): el servidor SMTP del cliente debe presentar un certificado firmado por una autoridad de certificación en la que Google confíe.
    • Validar el nombre de host del certificado (opción recomendada): comprueba que el nombre del host de entrada sea el mismo que figura en el certificado presentado por el servidor SMTP.
  9. Haz clic en Probar conexión TLS para verificar la conexión con el servidor de correo de entrada.
  10. Haz clic en Añadir ajuste o en Guardar.
  11. En la parte inferior de la página de configuración de cumplimiento de Gmail, haz clic en Guardar.

Los cambios pueden tardar hasta 24 horas en aplicarse. Puedes revisarlos en el registro de auditoría de la consola de administración.

Si recibes un error similar a "No se ha podido validar el certificado"

Es posible que aparezca este error al hacer clic en Probar conexión TLS. De ser así, puedes guardar la nueva ruta de correo, pero los mensajes enviados desde tu organización se rebotarán.

Para solucionar el error, prueba una o varias de estas soluciones:

  • Si tu servidor de correo tiene más de un nombre de host, comprueba que estás usando el nombre de host que figura en el certificado del servidor.

  • Si tienes acceso al servidor de correo en la ruta, instala un nuevo certificado de una autoridad de certificación de confianza. Verifica que el nuevo certificado tenga el nombre de host correcto.

  • Si utilizas un servicio de retransmisión de correo de terceros, informa de este error al proveedor del servicio.

  • Desactiva una o varias de estas opciones:
    • Requerir que el correo se envíe a través de una conexión de transporte segura (TLS)
    • Solicitar certificado firmado por una autoridad de certificación
    • Validar nombre del host del certificado

      Importante: Te recomendamos que tengas activadas estas opciones siempre que sea posible para que se pueda verificar la conexión.
¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?