SPF veya DKIM: Şema işaretli e-postalar SPF veya DKIM kimlik doğrulaması yapılmış alanlardan gelmelidir.
Satır içi işlemler için ek önlemler gereklidir
Satır içi işlemleri güvence altına almak için ek güvenlik önlemleri gerekir veya önerilir:
HTTPS: Tüm işlemler HTTPS URL'leri üzerinden yapılmalıdır. Ana makinelerde geçerli SSL sunucu sertifikaları yüklü olmalıdır.
Erişim jetonları: İşlemleri kullanan gönderenlerin, tekrar oynatma saldırılarına karşı kendilerini korumak için işlem URL'lerine sınırlı kullanımlı erişim jetonları yerleştirmeleri önerilir. Bu, web sayfalarına veya e-postalara yerleştirilmiş ve çağrıldığında yan etkileri olabilecek tüm URL'ler için genellikle iyi bir uygulamadır.
Bearer Authorization: İşlem isteklerini işleyen hizmetlerin, HTTPS isteğindeki HTTP "Authorization" başlığını doğrulaması önerilir. Bu başlık, isteğin kaynağının google.com olduğunu ve isteğin belirtilen hizmet için olduğunu kanıtlayan bir "Bearer Token" dizesi içerir. Hizmetler, Bearer Jetonunu Doğrulamak için Google tarafından sağlanan açık kaynak kitaplığı kullanmalıdır.
Sıra dışı e-posta erişim rutinlerini güvenli hale getirme
Gmail, e-postalardaki işlemleri güvenli hale getirmek için çeşitli e-posta yönlendirme ve erişim kalıplarını işler. Yukarıdaki ölçümlere EK OLARAK aşağıdaki ölçümler de yapılır:
Erişim Rutini
Ek güvenlik önlemleri
Manuel yönlendirme: Kullanıcı bir e-postayı açar ve daha fazla alıcıya yönlendirir.
Bu tür yönlendirmeler her zaman DKIM imzalarını bozar ve gönderen artık hizmete kayıtlı değildir. E-postadaki işlemler reddedilir.
Gmail'e Otomatik Yönlendirme: Kullanıcı, user@acme.com posta kutusunda Gmail posta kutusuna yönlendirme kuralı oluşturur.
Gmail, kullanıcının kullanici@acme.com olarak gönderebileceğini doğrular (kullanıcı bunu manuel olarak ayarlar). E-postadaki işlemler kabul edilir.
Gmail POP ile getirme: Kullanıcı, Gmail'e kullanıcı@acme.com adresinin şifresini verir ve Gmail, POP aracılığıyla tüm e-postaları Gmail gelen kutusuna getirir.
DKIM imzaları ve içerik bütünlüğü korunur. Kullanıcı, user@acme.com adresine erişimi olduğunu kanıtlamıştır. E-postadaki işlemler kabul edilir.
Gmail e-postalarına üçüncü taraf uygulamalarıyla erişme: Gmail kullanıcısı, Gmail e-postalarına erişmek için üçüncü taraf bir uygulama (ör. Outlook veya Thunderbird) kullanır ya da Gmail e-postalarını başka bir e-posta sağlayıcısına yönlendirir.
Üçüncü taraf uygulaması veya hizmeti, yerleştirilmiş bilgileri kullanabilir. Ancak, Google'ın kimlik doğrulama jetonlarıyla eşleşen jetonlar oluşturamayacağından gönderenler bu tür işlem isteklerini reddedebilir. Gönderenler, işlemin hassasiyetine bağlı olarak taşıyıcı jeton içermeyen işlemleri reddetmeyi veya kabul etmeyi seçebilir. Taşıyıcı yetkilendirme jetonunun, tüm posta sağlayıcıların ve uygulamaların kendi anahtarlarını kullanarak jeton oluşturmasına olanak tanıyan standart açık kaynak teknolojileri kullanılarak oluşturulduğunu unutmayın.
[null,null,["Son güncelleme tarihi: 2025-08-29 UTC."],[],[],null,["# Securing Actions\n\nThis page document how Gmail secures the delivery and execution of actions.\n\nSecurity Measures enforced by Google\n------------------------------------\n\nThe following conditions must hold for schemas embedded in email:\n\n- **Registration** : Sender must [Register with Google](../registering-with-google).\n- **SPF** or **DKIM** : Emails with schema markup **must** arrive from [SPF or DKIM authenticated domains](https://support.google.com/mail/answer/180707)\n\nAdditional Measures required for In-Line Actions\n------------------------------------------------\n\nExtra security measures are required or encouraged to secure inline actions:\n\n- **HTTPS** : All actions **must** be handled via HTTPS URLs. Hosts must have valid SSL server certificates installed.\n- **Access Tokens** : It is **encouraged** that senders using actions embed [Limited-Use Access Tokens](/workspace/gmail/markup/actions/limited-use-access-tokens) in the action URLs, to protected themselves against [Replay Attacks](http://en.wikipedia.org/wiki/Replay_attack). This is a generally good practice for any URL embedded in webpages or emails that might have any side-effects when invoked.\n- **Bearer Authorization** : It is **encouraged** that services handling action requests verify the Http \"Authorization\" header in the HTTPS request. That header will contain a \"Bearer Token\" string, proving that the source of the request is google.com, and that the request is intended for the specified service. Services should use the Google-provided open source library to [Verify the Bearer Token](/workspace/gmail/markup/actions/verifying-bearer-tokens).\n\n| **Note:** Bearer tokens in authorization headers are not sent by default. If you require a bearer token token to be sent, request it when [registering with Google](/workspace/gmail/markup/registering-with-google).\n\nSecuring Edge-Case Email Access Patterns\n----------------------------------------\n\nThere are various variants of email forwarding and access patterns that Gmail handles in order to secure actions in emails. These following measurements are performed **IN ADDITION** to the measures above:\n\n| Access Pattern | Additional Security Measures |\n|----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|\n| **Manual Forwarding** - User opens an email and forwards it to more recipients | Such forwarding always breaks DKIM signatures, and the sender is no longer registered with the service. Actions in the email are **rejected**. |\n| **Auto Forwarding to Gmail** - User creates a forwarding rule on mailbox user@acme.com to her gmail mailbox. | Gmail verifies that the user can send as user@acme.com (user sets this up manually). Actions in the email are **accepted**. |\n| **Gmail POP fetching** - User gives Gmail the password for user@acme.com and Gmail fetchers all emails there via POP to the Gmail inbox. | DKIM signatures and content integrity is preserved. User has proven access to user@acme.com. Actions in the email are **accepted**. |\n| **Accessing Gmail emails with 3rd party applications** - Gmail user uses a 3rd party application (e.g. Outlook or Thunderbird) to access Gmail emails, or forwards her Gmail emails to another email provider. | 3rd party application or service may use embedded information. However, it won't be able to produce bearer authentication tokens that match Google's, giving senders the opportunity to reject such action requests. Senders may choose whether they reject or accept actions without bearer tokens, depending on the sensitivity of the action. Note that the bearer authorization token is created using standard open source technologies making it possible to all mail providers and apps to produce them using their own keys. |"]]
