Esta página se mantiene activa y refleja la asistencia de cifrado y TLS de Gmail.
Los algoritmos de cifrado ayudan a proteger las conexiones de red que utilizan Seguridad en la capa de transporte (TLS). Estos algoritmos suelen ser de uno de estos tres tipos:
- Algoritmos de intercambio de claves: intercambian una clave que cifra y descifra los mensajes que se envían entre dos dispositivos.
- Algoritmos de cifrado en bloque: cifran los datos enviados a través de la conexión TLS.
- Algoritmos MAC: verifican que los datos enviados no cambian durante el envío.
También hay algoritmos de cifrado que incluyen firmas y que autentican servidores o clientes. Más información sobre Gmail y las conexiones TLS
Compatibilidad con TLS 1.0, 1.1, 3DES y otras conexiones TLS menos seguras
Gmail siempre intenta usar las versiones más recientes y seguras de TLS, y no utiliza versiones menos seguras cuando hay versiones más seguras disponibles. Sin embargo, la entrega SMTP de Gmail admite versiones de TLS menos seguras por motivos de compatibilidad cuando no se admiten o no están disponibles versiones de TLS más seguras. Algunas de las versiones de TLS menos seguras que admite Gmail son los cifrados TLS 1.0, TLS 1.1 y 3DES.
Para evitar que los usuarios maliciosos obliguen a las conexiones a usar versiones menos seguras de TLS, las negociaciones de conexión siempre están cifradas.
Si quieres, puedes añadir un ajuste de cumplimiento de las normas de contenido en la consola de administración de Google para rechazar los mensajes de las conexiones que no usen TLS 1.2 o una versión posterior. Consulta los pasos detallados más abajo.
Algoritmos de cifrado en las negociaciones TLS
Los servidores SMTP de Google aceptan estos algoritmos de cifrado para la negociación de la Seguridad en la capa de transporte (TLS).
Las negociaciones TLS también se denominan "handshakes" de TLS. Durante estos handshakes, las partes que se están comunicando se reconocen, se verifican y acuerdan los algoritmos de cifrado y las claves de sesión que utilizarán.
Esta lista de algoritmos de cifrado admitidos en negociaciones TLS se actualizó en marzo del 2023.
TLS 1.3
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS 1.2
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS 1.1 y TLS 1.0
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
Algoritmos de cifrado de servidores de salida
Es preferible usar estos algoritmos de cifrado con servidores de salida de Gmail.
Gmail indica al servidor de recepción que admite las versiones de TLS 1.3, 1.2, 1.1 y 1.0, y este servidor determina qué versión de TLS se utilizará en la conexión.
Google no es compatible con SSLv3.
Esta lista de algoritmos de cifrado admitidos por servidores de salida se actualizó en abril del 2020.
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA
Rechazar conexiones menos seguras que 3DES o TLS 1.2
Sigue estos pasos para configurar las conexiones SMTP de Gmail para que usen TLS 1.2 o versiones posteriores. Si añades esta opción, se rechazarán más mensajes entrantes y no se entregarán a los destinatarios. Para obtener más información sobre el ajuste de cumplimiento de las normas de contenido, consulta el artículo Configurar reglas avanzadas para filtrar el contenido de mensajes de correo.
-
Inicia sesión en la consola de administración de Google.
Utiliza tu cuenta de administrador (no termina en @gmail.com).
-
En la consola de administración, ve a Menú
Aplicaciones
Google Workspace
-
(Opcional) En la parte izquierda, selecciona una organización.
-
Desplázate hasta el ajuste Cumplimiento de las normas de contenido de la sección Cumplimiento, coloca el cursor sobre él y haz clic en Configurar. Si el ajuste ya se ha configurado, coloca el cursor sobre él y haz clic en Editar o Añadir otro.
-
En el cuadro Añadir ajuste, sigue estos pasos:
Opción de configuración Qué hacer En Cumplimiento de las normas de contenido Introduce una descripción para el ajuste; por ejemplo, Usar siempre TLS 1.2.
Mensajes afectados Selecciona Entrantes y Entrantes internos. Añadir una expresión para rechazar las conexiones TLS 1.0 - En la tabla Expresiones o debajo de ella, haz clic en Añadir. Aparecerá el cuadro Añadir ajuste.
- En la parte superior del cuadro, haz clic en el menú
y selecciona Coincidencia avanzada con contenido. En Ubicación, selecciona Cabeceras completas.
- En Tipo de concordancia, selecciona Coincide con la expresión regular. Aparecerán las opciones de expresiones regulares.
- En Expresión regular, introduce esta expresión:
^Received:.*\(version=TLS1 cipher= - En Descripción de la expresión regular, escribe un nombre descriptivo; por ejemplo, Coincidir con TLS 1.0.
- Deja el campo Número mínimo de coincidencias en blanco.
- En la parte inferior del cuadro Añadir ajuste, haz clic en Guardar. La nueva expresión aparecerá en la tabla Expresiones.
Añadir una expresión para rechazar las conexiones 3DES - En la tabla Expresiones o debajo de ella, haz clic en Añadir. Aparecerá el cuadro Añadir ajuste.
- En la parte superior del cuadro, haz clic en el menú
- En Ubicación, selecciona Cabeceras completas.
- En Tipo de concordancia, selecciona Coincide con la expresión regular. Aparecerán las opciones de expresiones regulares.
- En Expresión regular, escribe lo siguiente: ^Received:.\scipher=[A-Z,0-9,]*DES[A-Z,0-9,]\s
- En Descripción de la expresión regular, escribe un nombre descriptivo, como Coincidir con algoritmo de cifrado DES.
- Deja el campo Número mínimo de coincidencias en blanco.
- En la parte inferior del cuadro Añadir ajuste, haz clic en Guardar. La nueva expresión aparecerá en la tabla Expresiones.
Si las expresiones anteriores coinciden, sigue estos pasos Esta acción se aplica si coincide alguna de las expresiones anteriores.
- Selecciona Rechazar mensaje.
- En Aviso de rechazo personalizado, escribe el texto del mensaje que recibirán los remitentes cuando se rechace su mensaje debido a la configuración. Por ejemplo: Este servidor requiere TLSv1.1 o una versión posterior y no es compatible con DES/3DES.
Mostrar opciones - Para ver más opciones de configuración, haz clic en Mostrar opciones.
- En B. Tipos de cuentas a las que se aplica, selecciona Usuarios y No reconocidas/Catch-all.
-
En la parte inferior del cuadro Añadir ajuste, haz clic en Guardar.Los cambios pueden tardar hasta 24 horas en aplicarse, pero suelen hacerlo más rápido. Más información Puedes monitorizarlos en el registro de auditoría de la consola de administración.
