Criptografias para conexões TLS SMTP do Gmail

Esta página passa por manutenções ativas e reflete o suporte atual do Gmail para TLS e criptografia.

As criptografias são algoritmos que ajudam a proteger conexões de rede que usam o padrão Transport Layer Security (TLS). Geralmente, estes três tipos de criptografia são usados:

• Algoritmo de troca de chave: troca uma chave entre dois dispositivos. A chave criptografa e descriptografa mensagens enviadas entre os dois dispositivos. 
• Algoritmo de criptografia em massa: criptografa os dados enviados pela conexão TLS.
• Algoritmo MAC: verifica se os dados enviados não mudam em trânsito. 

Há também criptografias que incluem assinaturas e que autenticam servidores ou clientes. Saiba mais sobre o Gmail e as conexões TLS.

Suporte para TLS 1.0, 1.1, 3DES e outras conexões TLS menos seguras

O Gmail sempre tenta usar as versões mais recentes e seguras do TLS e não usa versões menos seguras quando há outras mais seguras disponíveis. No entanto, a entrega de SMTP do Gmail oferece suporte a versões de TLS menos seguras para compatibilidade quando versões de TLS mais seguras não estão disponíveis ou não são aceitas. As versões de TLS menos seguras com suporte do Gmail incluem as criptografias TLS 1.0, TLS 1.1 e 3DES. 

Para evitar que usuários mal-intencionados forcem as conexões a usar versões menos seguras do TLS, as negociações de conexão são sempre criptografadas. 

Há a opção de adicionar uma configuração de compliance de conteúdo no Google Admin Console para rejeitar mensagens de conexões que não usam o TLS 1.2 ou uma versão mais recente. Acesse as etapas detalhadas abaixo

Criptografias para a negociação do TLS

Os servidores SMTP do Google aceitam essas criptografias para a negociação do Transport Layer Security (TLS).

que também é chamada de handshake TLS. Durante o handshake, ocorre a identificação, a verificação e a definição das criptografias e das chaves de sessão a serem usadas entre as partes que estão se comunicando.

Esta lista de criptografias para negociação do TLS foi atualizada em março de 2023.

Criptografias do servidor de saída

Estas criptografias são preferidas pelos servidores de saída do Gmail.

O Gmail informa ao servidor de recebimento que as versões 1.3, 1.2, 1.1 e 1.0 do TLS são compatíveis. O servidor de recebimento determina qual versão do TLS é usada para a conexão.

O Google não permite o uso do SSLv3.

Esta lista de criptografias do servidor de saída foi atualizada em abril de 2020.

​Rejeitar conexões menos seguras que 3DES ou TLS 1.2

Siga estas etapas para configurar as conexões SMTP do Gmail para usar o TLS 1.2 ou uma versão mais recente. Ao adicionar essa configuração, mais mensagens recebidas são rejeitadas e não são entregues aos destinatários. Para informações detalhadas sobre a configuração de compliance de conteúdo, acesse Configurar regras para a filtragem avançada de conteúdo de e-mail.

1. Faça login no Google Admin Console.

   Use sua conta de administrador (não termina em @gmail.com).

2. No Admin Console, acesse Menu  AppsGoogle WorkspaceGmailConformidade.

3. (Opcional) No lado esquerdo, selecione uma organização.

4. Na seção "Compliance", role até a opção Compliance de conteúdo, passe o cursor sobre ela e clique em Configurar. Se a configuração já estiver definida, passe o cursor sobre ela e clique em Editar ou Adicionar outro. 

5. Na caixa Adicionar configuração, siga estas etapas:

   Opção de configuração	O que fazer
   Em Compliance de conteúdo	Insira uma descrição para a configuração, por exemplo, Sempre usar TLS 1.2.
   Mensagens de e-mail afetadas	Selecione Entrada e Recebidas internas.
   Adicionar expressão para rejeitar conexões TLS 1.0	Na tabela Expressões, clique em Adicionar. A caixa Adicionar configuração é exibida. Na parte de cima da caixa, clique no menu  e selecione Correspondência de conteúdo avançado. Em Localização, selecione Cabeçalhos completos. Em Tipo de correspondência, selecioneCorresponde ao regex. As opções de Regexp são exibidas. Em Regexp, digite a seguinte expressão: ^Received:.*\(version=TLS1 cipher= Em Descrição de Regex, insira um nome descritivo, por exemplo, Match TLS 1.0. Deixe o campo Número mínimo de correspondências em branco. Na parte inferior da caixa Adicionar configuração, clique em Salvar. A nova expressão aparece na tabela Expressões.
   Adicionar expressão para rejeitar conexões 3DES	Na tabela Expressões, clique em Adicionar. A caixa Adicionar configuração é exibida. Na parte de cima da caixa, clique no menu  e selecione Correspondência de conteúdo avançado. Em Localização, selecione Cabeçalhos completos. Em Tipo de correspondência, selecioneCorresponde ao regex. As opções de Regexp são exibidas. Em Regexp, digite a seguinte expressão: ^Received:.\scipher=[A-Z,0-9,]*DES[A-Z,0-9,]\s Em Descrição de Regex, insira um nome descritivo, por exemplo, Match DES Cipher. Deixe o campo Número mínimo de correspondências em branco. Na parte inferior da caixa Adicionar configuração, clique em Salvar. A nova expressão aparece na tabela Expressões.
   O que fazer se as expressões acima corresponderem	A ação se aplica se uma das expressões acima corresponder. Selecione Rejeitar mensagem. Em Aviso de rejeição personalizado, insira o texto da mensagem que os remetentes recebem quando o envio é rejeitado devido à configuração. Por exemplo: Este servidor exige TLSv1.1 ou mais recente e não oferece suporte a DES/3DES.
   Mostrar opções	Para mostrar mais opções de configuração, clique em Mostrar opções. Em B. Tipos de contas afetadas, selecione Usuários e Não reconhecido/catchall.

6. Na parte inferior da caixa Adicionar configuração, clique em Salvar.
   As alterações podem levar até 24 horas, mas costumam ser mais rápidas. Saiba mais Você pode rastreá-las no Registro de auditoria do Admin Console.