Gmail の SMTP TLS 接続の暗号

このページは積極的に更新されており、Gmail における TLS と暗号の現在のサポートが反映されています。

暗号は、TLS（Transport Layer Security）を使用するネットワーク接続を保護するアルゴリズムです。暗号は通常、次の 3 つのタイプのいずれかです。

• 鍵交換アルゴリズム: 2 つのデバイス間で鍵を交換します。この鍵を使用して、2 つのデバイス間で送信されるメッセージを暗号化および復号化します。
• 一括暗号化アルゴリズム: TLS 接続で送信されたデータを暗号化します。
• MAC アルゴリズム: 送信データが送信中に変化しないことを検証します。

署名を含む暗号や、サーバーまたはクライアントを認証する暗号もあります。Gmail と TLS 接続について詳しくは、メールの送受信時にセキュリティ プロトコルで保護された（TLS）接続を必須にするをご覧ください。

TLS 1.0、1.1、3DES などの安全性の低い TLS 接続のサポート

Gmail は常に、最も安全な最新バージョンの TLS を使用しようとします。より安全なバージョンが利用可能な場合、安全性の低いバージョンは使用しません。ただし、より安全な TLS バージョンがサポートされていない場合や利用できない場合は、互換性を確保するために、Gmail SMTP 配信では安全性の低い TLS バージョンがサポートされます。Gmail でサポートされている安全性の低い TLS バージョンには、TLS 1.0、TLS 1.1、3DES 暗号があります。

悪意のあるユーザーが安全性の低いバージョンの TLS を使用するように接続を強制できないように、接続のネゴシエーションは常に暗号化されます。

必要に応じて、Google 管理コンソールでコンテンツ コンプライアンス設定を追加し、TLS 1.2 以降を使用していない接続からのメッセージを拒否できます。下記の詳細な手順に進む

TLS ネゴシエーションの暗号

Google の SMTP サーバーは、Transport Layer Security（TLS）ネゴシエーションに以下の暗号を受け入れます。

TLS ネゴシエーションは TLS handshake とも呼ばれます。handshake 中に、通信側は相互に確認応答し、相互に検証し、使用する暗号とセッション鍵について合意します。

この TLS ネゴシエーションの暗号のリストは 2023 年 3 月に更新されました。

送信サーバーの暗号

Gmail の送信サーバーでは、下に示す暗号が優先的に使用されます。

Gmail から受信側サーバーには、TLS バージョン 1.3、1.2、1.1、1.0 をサポートしていることを伝えます。これを受けて受信側サーバーでは、接続に使用する TLS バージョンを決定します。

Google では SSLv3 をサポートしていません。

この送信サーバーの暗号のリストは 2020 年 4 月に更新されました。

​3DES または TLS 1.2 よりも安全性の低い接続を拒否する

TLS 1.2 以降を使用するように Gmail SMTP 接続を構成する手順は次のとおりです。この設定を追加すると、受信されたものの拒否され、宛先に配信されないメールが増加します。コンテンツ コンプライアンスの設定について詳しくは、高度なメール コンテンツ フィルタリングに関するルールの設定をご覧ください。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン   [アプリ] [Google Workspace] [Gmail] [コンプライアンス] にアクセスします。

3. （省略可）左側で組織を選択します。

4. [コンプライアンス] の [コンテンツ コンプライアンス] の設定までスクロールしてカーソルを合わせ、[設定] をクリックします。すでに設定されている場合は、この設定にカーソルを合わせ、[編集] または [他にも追加] をクリックします。

5. [設定を追加] ボックスで次の操作を行います。

   設定オプション	必要なご対応
   [コンテンツ コンプライアンス] で	設定の説明を入力します（例: 常に TLS 1.2 を使用する）。
   影響を受けるメール	[受信] と [内部 - 受信] を選択します。
   TLS 1.0 接続を拒否する式を追加	[Expressions] テーブルの下または内にある [Add] をクリックします。[設定を追加] ボックスが表示されます。 ボックスの上部にあるメニュー アイコン をクリックし、[高度なコンテンツ マッチ] を選択します。[場所] で、[完全なヘッダー] を選択します。 [一致タイプ] で、[正規表現に一致する] を選択します。 正規表現のオプションが表示されます。 [Regexp] に「^Received:.*\(version=TLS1 cipher=」と入力します。 [正規表現の説明] にわかりやすい名前（「TLS 1.0 と一致」など）を入力します。 [最小一致数] フィールドは空のままにします。 [設定を追加] ボックスの下部にある [保存] をクリックします。 新しい式が [Expressions] テーブルに表示されます。
   3DES 接続を拒否する式を追加する	[Expressions] テーブルの下または内にある [Add] をクリックします。[設定を追加] ボックスが表示されます。 ボックスの上部にあるメニュー アイコン をクリックし、[高度なコンテンツ マッチ] を選択します。 [場所] で、[完全なヘッダー] を選択します。 [一致タイプ] で、[正規表現に一致する] を選択します。 正規表現のオプションが表示されます。 [Regexp] に「^Received:.\scipher=[A-Z,0-9,]*DES[A-Z,0-9,]\s」と入力します。 [正規表現の説明] にわかりやすい名前（「DES 暗号と一致」など）を入力します。 [最小一致数] フィールドは空のままにします。 [設定を追加] ボックスの下部にある [保存] をクリックします。 新しい式が [Expressions] テーブルに表示されます。
   上の表現が一致する場合は、次の処理を行う	このアクションは、上記のいずれかの式が一致する場合に適用されます。 [ メールを拒否] を選択します。 [カスタム拒否通知] で、この設定によりメッセージが拒否された場合に送信者に表示されるメッセージのテキストを入力します。たとえば、「このサーバーは TLSv1.1 以降を必要とし、DES / 3DES をサポートしていません」などです。
   オプションを表示	その他の設定オプションを表示するには、[オプションを表示] をクリックします。 [B. 影響を受けるアカウントの種類] で、[ユーザー] と [認識できない、キャッチオール] を選択します。

6. [設定を追加] ボックスの下部にある [保存] をクリックします。
   変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細。変更履歴は管理コンソールの監査ログで確認できます。