בדף הזה מוסבר איך Gmail מאבטח את השליחה והביצוע של פעולות.
אמצעי אבטחה שחלה עליהם אכיפה על ידי Google
התנאים הבאים חייבים להתקיים לגבי סכימות שמוטמעות באימייל:
- הרשמה: השולח חייב להירשם באמצעות Google.
- SPF או DKIM: הודעות אימייל עם תגי עיצוב של סכימה חייבות להגיע מדומיינים שאומתו באמצעות SPF או DKIM.
נדרשים אמצעים נוספים לפעולות בתוך השורה
אנחנו נדרשים או מעודדים אמצעי אבטחה נוספים כדי לאבטח פעולות בתוך השורה:
- HTTPS: חובה לטפל בכל הפעולות באמצעות כתובות URL מסוג HTTPS. במארחים צריכים להיות מותקנים אישורי שרת SSL תקינים.
- אסימוני גישה: מומלץ לשולחים שמשתמשים בפעולות להטמיע אסימוני גישה לשימוש מוגבל בכתובות ה-URL של הפעולות, כדי להגן על עצמם מפני התקפות שחזור. זוהי שיטה מומלצת באופן כללי לכל כתובת URL שמוטמעת בדפי אינטרנט או באימיילים, ועשויות להיות לה תופעות לוואי כשמפעילים אותה.
- הרשאה למוכ"ז: מומלץ ששירותים שמטפלים בבקשות לביצוע פעולות יאמתו את הכותרת 'Authorization' ב-HTTP בבקשת ה-HTTPS. הכותרת הזו תכלול מחרוזת 'אסימון למוכ"ז', שתוכיח שהמקור של הבקשה הוא google.com ושהבקשה מיועדת לשירות שצוין. שירותים צריכים להשתמש בספריית הקוד הפתוח ש-Google מספקת כדי לאמת את אסימון הנושא.
אבטחה של דפוסי גישה לאימייל במקרים קיצוניים
יש גרסאות שונות של העברת אימייל ושל דפוסי גישה שבהם Gmail מטפל כדי לבצע פעולות מאובטחות באימייל. המדידות הבאות מתבצעות בנוסף למדידות שלמעלה:
| דפוס גישה | אמצעי אבטחה נוספים |
|---|---|
| העברה ידנית – המשתמש פותח אימייל ומעביר אותו לנמענים נוספים | העברה כזו תמיד מפסיקה חתימות DKIM, והשולח כבר לא רשום בשירות. הפעולות באימייל נדחות. |
| העברה אוטומטית ל-Gmail – המשתמש יוצר כלל העברה בתיבת הדואר user@acme.com לתיבת הדואר שלו ב-Gmail. | Gmail מאמת שהמשתמש יכול לשלוח אימייל כ-user@acme.com (המשתמש מגדיר זאת באופן ידני). הפעולות באימייל אושרו. |
| אחזור POP ב-Gmail – המשתמש מספק ל-Gmail את הסיסמה לכתובת user@acme.com, ו-Gmail מאחזר את כל האימיילים דרך POP לתיבת הדואר הנכנס ב-Gmail. | חתימות DKIM ושלמות התוכן נשמרים. המשתמש הוכיח שיש לו גישה לכתובת user@acme.com. הפעולות באימייל אושרו. |
| גישה להודעות אימייל ב-Gmail באמצעות אפליקציות צד שלישי – משתמש ב-Gmail משתמש באפליקציה של צד שלישי (למשל Outlook או Thunderbird) כדי לגשת להודעות אימייל ב-Gmail, או מעביר את הודעות האימייל ב-Gmail לספק אימייל אחר. | אפליקציה או שירות של צד שלישי עשויים להשתמש במידע מוטמע. עם זאת, לא תהיה לו אפשרות ליצור אסימוני אימות למוכ"ז שתואמים לאלה של Google, כך ששולחים יוכלו לדחות בקשות כאלה לביצוע פעולות. השולחים יכולים לבחור אם לדחות או לאשר פעולות ללא אסימוני בעלות, בהתאם לרמת הרגישות של הפעולה. חשוב לזכור שאסימון ההרשאה למוכ"ז נוצר באמצעות טכנולוגיות סטנדרטיות בקוד פתוח, שמאפשרות לכל ספקי האימייל והאפליקציות ליצור אותם באמצעות המפתחות שלהם. |