Cette page fait l'objet d'une maintenance active et reflète la compatibilité actuelle de Gmail avec le protocole TLS et les algorithmes de chiffrement.
Les algorithmes de chiffrement permettent de sécuriser les connexions réseau qui utilisent le protocole TLS (Transport Layer Security). Ils sont généralement de trois types :
- Algorithme d'échange de clés : échange une clé entre deux appareils. La clé chiffre et déchiffre les messages envoyés entre les deux appareils.
- Algorithme de chiffrement en masse : chiffre les données envoyées via la connexion TLS.
- Algorithme de code d'authentification de message (MAC) : vérifie que les données envoyées ne sont pas modifiées pendant le transfert.
Il existe aussi des algorithmes de chiffrement qui incluent des signatures, ou authentifient les serveurs ou les clients. En savoir plus sur Gmail et les connexions TLS
Compatibilité avec TLS 1.0, 1.1, 3DES et d'autres connexions TLS moins sécurisées
Gmail tente toujours d'utiliser les versions TLS les plus récentes et les plus sécurisées, et n'utilise pas les versions moins sécurisées lorsque des versions plus sécurisées sont disponibles. Toutefois, la distribution SMTP Gmail est compatible avec les versions TLS moins sécurisées pour des raisons de compatibilité lorsque les versions TLS plus sécurisées ne sont pas compatibles ou disponibles. Gmail est compatible avec les versions TLS moins sécurisées, telles que TLS 1.0, TLS 1.1 et les algorithmes de chiffrement 3DES.
Pour empêcher les utilisateurs malveillants d'obliger les connexions à utiliser des versions moins sécurisées de TLS, les négociations de connexion sont toujours chiffrées.
Vous pouvez éventuellement ajouter un paramètre de conformité du contenu dans la console d'administration Google pour rejeter les messages provenant de connexions qui n'utilisent pas TLS 1.2 ou une version plus performante. Consultez la procédure détaillée ci-dessous.
Algorithmes de chiffrement pour la négociation TLS
Les serveurs SMTP de Google acceptent les algorithmes de chiffrement ci-dessous pour la négociation TLS (Transport Layer Security).
La négociation TLS est également appelée handshake TLS. La phase de "handshake" permet aux parties qui communiquent entre elles de se reconnaître, de se valider mutuellement et de s'accorder sur les algorithmes de chiffrement et les clés de session qu'elles s'apprêtent à utiliser.
Cette liste d'algorithmes de chiffrement pour la négociation TLS a été mise à jour en mars 2023.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.1 et TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Algorithmes de chiffrement du serveur sortant
Ces algorithmes sont préférés par les serveurs sortants de Gmail.
Gmail indique au serveur de réception qu'il est compatible avec les versions 1.3, 1.2, 1.1 et 1.0 de TLS. Le serveur de réception détermine ensuite la version de TLS utilisée pour la connexion.
Google n'accepte pas la méthode de chiffrement SSLv3.
Cette liste d'algorithmes de chiffrement pour le serveur sortant a été mise à jour en avril 2020.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Rejeter les connexions moins sécurisées que 3DES ou TLS 1.2
Suivez cette procédure pour configurer les connexions SMTP Gmail afin qu'elles utilisent TLS 1.2 ou une version plus performante. Lorsque vous ajoutez ce paramètre, davantage de messages entrants sont rejetés et ne sont pas distribués aux destinataires. Pour en savoir plus sur le paramètre de conformité du contenu, consultez Définir des règles de filtrage avancé du contenu des e-mails.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Applications Google Workspace Gmail Conformité.
-
(Facultatif) Sur la gauche, sélectionnez l'organisation.
-
Faites défiler la page jusqu'au paramètre Conformité du contenu de la section "Conformité", pointez sur le paramètre, puis cliquez sur Configurer. Si le paramètre est déjà configuré, passez la souris dessus, puis cliquez sur Modifier ou En ajouter un autre.
-
Dans la zone Ajouter un paramètre, suivez cette procédure :
Configurer une option Que devez-vous faire ? Sous Conformité du contenu Saisissez une description pour le paramètre (par exemple, Toujours utiliser TLS 1.2).
E-mails concernés Sélectionnez Entrants et Interne - réception. Ajouter une expression pour refuser les connexions TLS 1.0 - Sous le tableau Expressions ou dans celui-ci, cliquez sur Ajouter. La boîte de dialogue Ajouter un paramètre s'affiche.
- En haut de la boîte de dialogue, cliquez sur le menu , puis sélectionnez Correspondance de contenu avancée. Sous Emplacement, sélectionnez En-têtes complets.
- Sous Type de correspondance, sélectionnez Correspond à l'expression régulière. Les options associées à l'expression régulière s'affichent.
- Sous Expression régulière, saisissez l'expression suivante :
^Received:.*\(version=TLS1 cipher=
. - Sous Description de l'expression régulière, saisissez un nom descriptif (par exemple, Correspondance TLS 1.0).
- Laissez le champ Nombre minimal de correspondances vide.
- Au bas de la boîte de dialogue Ajouter un paramètre, cliquez sur Enregistrer. La nouvelle expression s'affiche dans le tableau Expressions.
Ajouter une expression pour refuser les connexions 3DES - Sous le tableau Expressions ou dans celui-ci, cliquez sur Ajouter. La boîte de dialogue Ajouter un paramètre s'affiche.
- En haut de la boîte de dialogue, cliquez sur le menu , puis sélectionnez Correspondance de contenu avancée.
- Sous Emplacement, sélectionnez En-têtes complets.
- Sous Type de correspondance, sélectionnez Correspond à l'expression régulière. Les options associées à l'expression régulière s'affichent.
- Sous Expression régulière, saisissez cette expression : ^Received:.\scipher=[A-Z,0-9,]*DES[A-Z,0-9,]\s
- Sous Description de l'expression régulière, saisissez un nom descriptif (par exemple, Correspondance avec l'algorithme de chiffrement DES).
- Laissez le champ Nombre minimal de correspondances vide.
- Au bas de la boîte de dialogue Ajouter un paramètre, cliquez sur Enregistrer. La nouvelle expression s'affiche dans le tableau Expressions.
Si les expressions ci-dessus correspondent, procéder comme suit Cette action s'applique si l'une des expressions ci-dessus correspond.
- Sélectionnez Rejeter le message.
- Sous Custom rejection notice (Avis de rejet personnalisé), saisissez le texte du message que les expéditeurs reçoivent lorsque leur message est rejeté en raison du paramètre. Par exemple : Ce serveur nécessite TLSv1.1 ou une version ultérieure, et n'est pas compatible avec DES/3DES.
Afficher les options - Pour afficher d'autres options de paramètres, cliquez sur Afficher les options.
- Sous B. Types de comptes concernés, sélectionnez Utilisateurs et Non reconnu/Collecteur.
-
Au bas de la boîte de dialogue Ajouter un paramètre, cliquez sur Enregistrer.Les modifications peuvent prendre jusqu'à 24 heures, mais sont généralement plus rapides. En savoir plusVous pouvez consulter les modifications dans le journal d'audit de la console d'administration.