Bảo mật hành động

Trang này trình bày cách Gmail bảo mật việc gửi và thực hiện các thao tác.

Các biện pháp bảo mật do Google thực thi

Các điều kiện sau phải được đáp ứng đối với lược đồ được nhúng trong email:

• Đăng ký: Người gửi phải Đăng ký với Google.
• SPF hoặc DKIM: Email có mã đánh dấu lược đồ phải đến từ các miền được xác thực bằng SPF hoặc DKIM

Các biện pháp bổ sung cần thiết cho Thao tác trong dòng

Bạn cần hoặc nên áp dụng các biện pháp bảo mật bổ sung để bảo mật các thao tác nội tuyến:

• HTTPS: Tất cả các thao tác phải được xử lý thông qua URL HTTPS. Máy chủ lưu trữ phải cài đặt chứng chỉ máy chủ SSL hợp lệ.
• Mã truy cập: Người gửi sử dụng các thao tác được khuyến khích nhúng Mã truy cập dùng một lần vào URL của thao tác để tự bảo vệ mình khỏi Tấn công phát lại. Đây thường là một phương pháp hay cho mọi URL được nhúng trong các trang web hoặc email có thể gây ra bất kỳ tác dụng phụ nào khi được gọi.
• Uỷ quyền cho người mang: Các dịch vụ xử lý yêu cầu hành động nên xác minh tiêu đề "Uỷ quyền" của Http trong yêu cầu HTTPS. Tiêu đề đó sẽ chứa một chuỗi "Bearer Token", chứng minh rằng nguồn của yêu cầu là google.com và yêu cầu đó dành cho dịch vụ được chỉ định. Các dịch vụ nên sử dụng thư viện nguồn mở do Google cung cấp để Xác minh mã thông báo của người mang.

Bảo mật các mẫu truy cập email trong trường hợp đặc biệt

Gmail xử lý nhiều biến thể của tính năng chuyển tiếp email và các mẫu truy cập để bảo mật các thao tác trong email. Những phép đo sau đây được thực hiện NGOÀI các phép đo nêu trên:

Mẫu truy cập	Các biện pháp bảo mật bổ sung
Chuyển tiếp thủ công – Người dùng mở một email và chuyển tiếp email đó cho nhiều người nhận khác	Việc chuyển tiếp như vậy luôn làm hỏng chữ ký DKIM và người gửi không còn được đăng ký với dịch vụ nữa. Các thao tác trong email sẽ bị từ chối.
Tự động chuyển tiếp đến Gmail – Người dùng tạo một quy tắc chuyển tiếp trên hộp thư user@acme.com đến hộp thư Gmail của họ.	Gmail xác minh rằng người dùng có thể gửi email dưới dạng user@acme.com (người dùng thiết lập việc này theo cách thủ công). Các hành động trong email sẽ được chấp nhận.
Gmail truy xuất qua POP – Người dùng cung cấp mật khẩu cho Gmail đối với địa chỉ email nguoidung@acme.com và Gmail sẽ truy xuất tất cả email tại địa chỉ đó qua POP vào hộp thư đến của Gmail.	Chữ ký DKIM và tính toàn vẹn của nội dung được giữ nguyên. Người dùng đã chứng minh quyền truy cập vào user@acme.com. Các thao tác trong email được chấp nhận.
Truy cập email trong Gmail bằng ứng dụng bên thứ ba – Người dùng Gmail sử dụng ứng dụng bên thứ ba (ví dụ: Outlook hoặc Thunderbird) để truy cập email trong Gmail hoặc chuyển tiếp email trong Gmail của mình đến một nhà cung cấp dịch vụ email khác.	Ứng dụng hoặc dịch vụ bên thứ ba có thể sử dụng thông tin được nhúng. Tuy nhiên, nó sẽ không thể tạo ra các mã thông báo xác thực của người mang khớp với mã thông báo của Google, giúp người gửi có cơ hội từ chối các yêu cầu hành động như vậy. Người gửi có thể chọn từ chối hoặc chấp nhận các hành động không có mã thông báo của người mang, tuỳ thuộc vào mức độ nhạy cảm của hành động. Xin lưu ý rằng mã thông báo uỷ quyền của người mang được tạo bằng các công nghệ nguồn mở tiêu chuẩn, cho phép tất cả các nhà cung cấp dịch vụ và ứng dụng thư tạo mã thông báo này bằng khoá riêng của họ.