หน้านี้จะอธิบายวิธีที่ Gmail รักษาความปลอดภัยในการนำส่งและการดำเนินการ
มาตรการรักษาความปลอดภัยที่ Google บังคับใช้
สคีมาที่แฝงอยู่ในอีเมลต้องเป็นไปตามเงื่อนไขต่อไปนี้
- การลงทะเบียน: ผู้ส่งต้องลงทะเบียนกับ Google
- SPF หรือ DKIM: อีเมลที่มีมาร์กอัปสคีมาต้องมาจากโดเมนที่ตรวจสอบสิทธิ์ SPF หรือ DKIM
มาตรการเพิ่มเติมที่จำเป็นสำหรับการดำเนินการในบรรทัด
จำเป็นต้องใช้หรือแนะนำให้ใช้มาตรการรักษาความปลอดภัยเพิ่มเติมเพื่อรักษาความปลอดภัยของการดำเนินการในบรรทัด
- HTTPS: การดำเนินการทั้งหมดต้องจัดการผ่าน URL ของ HTTPS โฮสต์ต้องติดตั้งใบรับรองเซิร์ฟเวอร์ SSL ที่ถูกต้อง
- โทเค็นเพื่อการเข้าถึง: ขอแนะนำให้ผู้ส่งที่ใช้การดำเนินการฝังโทเค็นเพื่อการเข้าถึงแบบจำกัดใน URL การดำเนินการ เพื่อป้องกันตัวเองจากการโจมตีซ้ำ ซึ่งเป็นแนวทางปฏิบัติที่ดีสำหรับ URL ที่ฝังอยู่ในหน้าเว็บหรืออีเมลที่อาจมีผลข้างเคียงเมื่อเรียกใช้
- การให้สิทธิ์แบบ Bearer: เราขอแนะนำให้บริการที่จัดการคำขอดำเนินการยืนยันส่วนหัว "Authorization" ของ HTTP ในคำขอ HTTPS ส่วนหัวดังกล่าวจะมีสตริง "โทเค็นสำหรับผู้ถือ" ซึ่งพิสูจน์ว่าแหล่งที่มาของคำขอคือ google.com และคำขอนั้นมีไว้สำหรับบริการที่ระบุ บริการควรใช้ไลบรารีโอเพนซอร์สที่ Google มีให้เพื่อยืนยันโทเค็น Bearer
การรักษาความปลอดภัยรูปแบบการเข้าถึงอีเมลแบบ Edge Case
รูปแบบการส่งต่อและการเข้าถึงอีเมลมีอยู่หลายรูปแบบที่ Gmail จัดการเพื่อรักษาความปลอดภัยให้กับการดำเนินการในอีเมล การวัดต่อไปนี้จะดำเนินการเพิ่มเติมจากการวัดข้างต้น
| รูปแบบการเข้าถึง | มาตรการรักษาความปลอดภัยเพิ่มเติม |
|---|---|
| การส่งต่อด้วยตนเอง - ผู้ใช้เปิดอีเมลและส่งต่อไปยังผู้รับเพิ่มเติม | การส่งต่อดังกล่าวจะทำลายลายเซ็น DKIM เสมอ และผู้ส่งไม่ได้ลงทะเบียนกับบริการอีกต่อไป การดำเนินการในอีเมลจะถูกปฏิเสธ |
| การส่งต่อไปยัง Gmail โดยอัตโนมัติ - ผู้ใช้สร้างกฎการส่งต่อในกล่องจดหมาย user@acme.com ไปยังกล่องจดหมาย Gmail ของตน | Gmail ยืนยันว่าผู้ใช้สามารถส่งอีเมลเป็น user@acme.com ได้ (ผู้ใช้ตั้งค่านี้ด้วยตนเอง) การดำเนินการในอีเมลได้รับการยอมรับแล้ว |
| การดึงข้อมูล POP ของ Gmail - ผู้ใช้ให้รหัสผ่านสำหรับ user@acme.com แก่ Gmail และ Gmail จะดึงข้อมูลอีเมลทั้งหมดในนั้นผ่าน POP ไปยังกล่องจดหมาย Gmail | ลายเซ็น DKIM และความสมบูรณ์ของเนื้อหาจะยังคงอยู่ ผู้ใช้พิสูจน์แล้วว่าเข้าถึง user@acme.com ได้ การดำเนินการในอีเมลได้รับอนุมัติ |
| การเข้าถึงอีเมล Gmail ด้วยแอปพลิเคชันของบุคคลที่สาม - ผู้ใช้ Gmail ใช้แอปพลิเคชันของบุคคลที่สาม (เช่น Outlook หรือ Thunderbird) เพื่อเข้าถึงอีเมล Gmail หรือส่งต่ออีเมล Gmail ไปยังผู้ให้บริการอีเมลรายอื่น | แอปพลิเคชันหรือบริการของบุคคลที่สามอาจใช้ข้อมูลที่ฝังไว้ อย่างไรก็ตาม เครื่องมือนี้จะสร้างโทเค็นการตรวจสอบสิทธิ์ของผู้ถือที่ตรงกับของ Google ไม่ได้ ซึ่งทำให้ผู้ส่งมีสิทธิ์ปฏิเสธคำขอดำเนินการดังกล่าว ผู้ส่งสามารถเลือกได้ว่าจะปฏิเสธหรือยอมรับการดำเนินการที่ไม่มีโทเค็นผู้ถือสิทธิ์ ทั้งนี้ขึ้นอยู่กับความสำคัญของการดำเนินการ โปรดทราบว่าโทเค็นการให้สิทธิ์ของผู้ถือครองสร้างขึ้นโดยใช้เทคโนโลยีโอเพนซอร์สมาตรฐาน ซึ่งทำให้ผู้ให้บริการอีเมลและแอปทั้งหมดสร้างโทเค็นได้โดยใช้คีย์ของตนเอง |