이 페이지에서는 Gmail에서 작업의 전송 및 실행을 보호하는 방법을 설명합니다.
Google에서 시행하는 보안 조치
이메일에 삽입된 스키마의 경우 다음 조건이 충족되어야 합니다.
- 등록: 발송자는 Google에 등록해야 합니다.
- SPF 또는 DKIM: 스키마 마크업이 있는 이메일은 SPF 또는 DKIM 인증 도메인에서 수신해야 합니다.
인라인 작업에 필요한 추가 조치
인라인 작업을 보호하기 위해서는 추가 보안 조치가 필요하거나 권장됩니다.
- HTTPS: 모든 작업은 HTTPS URL을 통해 처리해야 합니다. 호스트에 유효한 SSL 서버 인증서가 설치되어 있어야 합니다.
- 액세스 토큰: 작업을 사용하는 발신자는 재생 공격으로부터 보호하기 위해 작업 URL에 사용이 제한된 액세스 토큰을 삽입하는 것이 좋습니다. 이 방법은 호출 시 부작용이 발생할 수 있는 웹페이지나 이메일에 삽입된 모든 URL에 일반적으로 좋은 방법입니다.
- Bearer Authorization: 작업 요청을 처리하는 서비스에서 Http 'Authorization'을 확인하는 것이 좋습니다. 헤더의 캡션을 확인할 수 있습니다. 이 헤더에는 'Bearer Token'이라는 문자열로, 요청의 소스가 google.com이고 요청이 지정된 서비스를 위한 것임을 증명합니다. 서비스는 Google에서 제공하는 오픈소스 라이브러리를 사용하여 Bearer 토큰을 인증해야 합니다.
특이한 이메일 액세스 패턴 보안
Gmail에서는 이메일의 작업을 보호하기 위해 다양한 이메일 전달 및 액세스 패턴을 처리합니다. 다음 측정값은 위의 측정값에 추가로 수행됩니다.
액세스 패턴 | 추가 보안 조치 |
---|---|
수동 전달 - 사용자가 이메일을 열어 더 많은 수신자에게 전달합니다. | 이러한 전달은 항상 DKIM 서명을 깨고 발신자가 더 이상 서비스에 등록되지 않습니다. 이메일의 작업이 거부됩니다. |
Gmail로 자동 전달 - 사용자는 user@acme.com 편지함에 대해 자신의 Gmail 편지함으로 전달 규칙을 만듭니다. | Gmail에서 사용자가 user@acme.com으로 이메일을 보낼 수 있는지 확인합니다 (사용자가 수동으로 설정함). 이메일의 작업이 수락됩니다. |
Gmail POP 가져오기: 사용자는 Gmail에 user@acme.com의 비밀번호를 제공하고 Gmail 가져오기 프로그램은 POP를 통해 Gmail 받은편지함으로 모든 이메일을 제공합니다. | DKIM 서명 및 콘텐츠 무결성이 유지됩니다. user@acme.com에 대한 액세스 권한이 입증된 사용자입니다. 이메일의 작업이 수락됩니다. |
타사 애플리케이션으로 Gmail 이메일에 액세스: Gmail 사용자가 타사 애플리케이션 (예: Outlook 또는 Thunderbird)을 사용하여 Gmail 이메일에 액세스하거나 다른 이메일 제공업체로 Gmail 이메일을 전달합니다. | 서드 파티 애플리케이션 또는 서비스에 삽입된 정보를 사용할 수 있습니다. 그러나 Google의 Bearer 인증 토큰을 생성할 수 없으므로 발신자가 이러한 작업 요청을 거부할 수 있습니다. 발신자는 작업의 민감도에 따라 Bearer 토큰 없이 작업을 거부할지 또는 수락할지 선택할 수 있습니다. Bearer 인증 토큰은 표준 오픈소스 기술을 사용하여 생성되므로 모든 메일 제공업체와 앱이 자체 키를 사용하여 토큰을 생성할 수 있습니다. |