На этой странице описано, как Gmail обеспечивает доставку и выполнение действий.
Меры безопасности, применяемые Google
Для схем, встроенных в электронную почту, должны выполняться следующие условия:
- Регистрация : Отправитель должен зарегистрироваться в Google .
- SPF или DKIM : электронные письма с разметкой схемы должны поступать из доменов, прошедших проверку подлинности SPF или DKIM.
Дополнительные меры, необходимые для действий в режиме реального времени
Для защиты встроенных действий требуются или поощряются дополнительные меры безопасности:
- HTTPS : все действия должны обрабатываться через URL-адреса HTTPS. На хостах должны быть установлены действительные сертификаты сервера SSL.
- Токены доступа . Отправителям, использующим действия, рекомендуется вставлять токены доступа ограниченного использования в URL-адреса действий, чтобы защитить себя от атак повторного воспроизведения . Обычно это хорошая практика для любого URL-адреса, встроенного в веб-страницы или электронные письма, вызов которого может иметь побочные эффекты.
- Авторизация носителя . Рекомендуется , чтобы службы, обрабатывающие запросы действий, проверяли заголовок Http «Authorization» в HTTPS-запросе. Этот заголовок будет содержать строку «Токен на предъявителя», доказывающую, что источником запроса является google.com и что запрос предназначен для указанной службы. Службы должны использовать библиотеку с открытым исходным кодом, предоставленную Google, для проверки токена на предъявителя .
Защита шаблонов доступа к электронной почте в крайних случаях
Существуют различные варианты пересылки электронной почты и шаблоны доступа, которые Gmail использует для обеспечения безопасности действий в электронных письмах. Следующие измерения выполняются ДОПОЛНИТЕЛЬНО к вышеуказанным мерам:
Шаблон доступа | Дополнительные меры безопасности |
---|---|
Пересылка вручную — пользователь открывает электронное письмо и пересылает его большему количеству получателей. | Такая пересылка всегда нарушает подписи DKIM, и отправитель больше не зарегистрирован в сервисе. Действия в электронном письме отклонены . |
Автоматическая переадресация в Gmail . Пользователь создает правило переадресации для почтового ящика user@acme.com в свой почтовый ящик Gmail. | Gmail проверяет, может ли пользователь отправлять сообщения с адреса user@acme.com (пользователь настраивает это вручную). Действия, указанные в письме, принимаются . |
Загрузка Gmail по POP . Пользователь дает Gmail пароль для user@acme.com, и Gmail получает все электронные письма оттуда через POP в почтовый ящик Gmail. | Подписи DKIM и целостность содержимого сохраняются. Пользователь подтвердил доступ к адресу user@acme.com. Действия, указанные в письме, принимаются . |
Доступ к электронной почте Gmail с помощью сторонних приложений . Пользователь Gmail использует стороннее приложение (например, Outlook или Thunderbird) для доступа к электронной почте Gmail или пересылает свои электронные письма Gmail другому поставщику электронной почты. | Стороннее приложение или служба могут использовать встроенную информацию. Однако он не сможет создавать токены аутентификации носителя, соответствующие маркерам Google, что дает отправителям возможность отклонять такие запросы на действия. Отправители могут выбирать, отклонять или принимать действия без токенов на предъявителя, в зависимости от чувствительности действия. Обратите внимание, что токен авторизации носителя создается с использованием стандартных технологий с открытым исходным кодом, что позволяет всем почтовым провайдерам и приложениям создавать их, используя свои собственные ключи. |