Trang này trình bày cách Gmail bảo mật việc phân phối và thực thi các hành động.
Biện pháp bảo mật do Google thực thi
Các điều kiện sau đây phải có đối với giản đồ được nhúng trong email:
- Đăng ký: Người gửi phải Đăng ký với Google.
- SPF hoặc DKIM: Email có mã đánh dấu giản đồ phải đến từ các miền được xác thực bằng SPF hoặc DKIM
Các biện pháp bổ sung cần thiết cho Hành động cùng dòng
Bạn nên hoặc bắt buộc phải áp dụng các biện pháp bảo mật bổ sung để bảo mật các thao tác cùng dòng:
- HTTPS: Tất cả hành động phải được xử lý thông qua URL loại HTTPS. Máy chủ lưu trữ phải cài đặt chứng chỉ máy chủ SSL hợp lệ.
- Mã truy cập: Chúng tôi khuyến khích người gửi sử dụng các hành động sẽ nhúng Mã truy cập giới hạn vào URL hành động để tự bảo vệ mình khỏi Tấn công phát lại. Đây là phương pháp hay nên áp dụng cho mọi URL được nhúng trong trang web hoặc email có thể gây ra bất kỳ tác dụng phụ nào khi được gọi.
- Uỷ quyền cho phương thức mang: Bạn nên xác minh tiêu đề "Uỷ quyền" HTTP trong yêu cầu HTTPS đối với các dịch vụ xử lý yêu cầu hành động. Tiêu đề đó sẽ chứa chuỗi "Bearer Token" (Mã thông báo xác thực), chứng minh rằng nguồn của yêu cầu là google.com và yêu cầu đó dành cho dịch vụ đã chỉ định. Các dịch vụ nên sử dụng thư viện nguồn mở do Google cung cấp để Xác minh mã thông báo thông báo.
Bảo mật các mẫu truy cập email theo yêu cầu
Gmail xử lý nhiều biến thể của các mẫu truy cập và chuyển tiếp email để bảo mật các hành động trong email. Các phương pháp đo sau đây được thực hiện BỔNG THÊM so với các biện pháp nêu trên:
| Mẫu truy cập | Các biện pháp bảo mật bổ sung |
|---|---|
| Chuyển tiếp thủ công – Người dùng mở một email và chuyển tiếp email đó đến nhiều người nhận khác | Việc chuyển tiếp như vậy luôn làm hỏng chữ ký DKIM và người gửi không còn được đăng ký với dịch vụ nữa. Các hành động trong email sẽ bị từ chối. |
| Tự động chuyển tiếp đến Gmail – Người dùng tạo quy tắc chuyển tiếp trên hộp thư user@acme.com đến hộp thư Gmail của họ. | Gmail xác minh rằng người dùng có thể gửi dưới dạng user@acme.com (người dùng thiết lập thông tin này theo cách thủ công). Các hành động trong email đã được chấp nhận. |
| Tìm nạp qua giao thức POP của Gmail – Người dùng cung cấp cho Gmail mật khẩu của user@acme.com và trình tìm nạp của Gmail sẽ tìm nạp tất cả email ở đó qua giao thức POP vào hộp thư đến của Gmail. | Chữ ký DKIM và tính toàn vẹn của nội dung được giữ nguyên. Người dùng đã chứng minh quyền truy cập vào user@acme.com. Các hành động trong email được chấp nhận. |
| Truy cập email Gmail bằng ứng dụng của bên thứ ba – Người dùng Gmail sử dụng ứng dụng của bên thứ ba (ví dụ: Outlook hoặc Thunderbird) để truy cập email Gmail hoặc chuyển tiếp email Gmail của mình đến nhà cung cấp dịch vụ email khác. | Ứng dụng hoặc dịch vụ bên thứ ba có thể sử dụng thông tin được nhúng. Tuy nhiên, ứng dụng này sẽ không thể tạo mã thông báo xác thực người mang khớp với mã thông báo của Google, cho phép người gửi từ chối các yêu cầu hành động như vậy. Người gửi có thể chọn từ chối hoặc chấp nhận các hành động không có mã thông báo thông báo, tuỳ thuộc vào mức độ nhạy cảm của hành động. Xin lưu ý rằng mã thông báo uỷ quyền của người mang được tạo bằng các công nghệ nguồn mở tiêu chuẩn, cho phép tất cả nhà cung cấp dịch vụ thư và ứng dụng tạo mã thông báo bằng khoá của riêng họ. |