Trang này trình bày cách Gmail bảo mật việc phân phối và thực thi các hành động.
Các biện pháp bảo mật do Google thực thi
Các điều kiện sau phải được đáp ứng đối với giản đồ được nhúng trong email:
- Đăng ký: Người gửi phải Đăng ký với Google.
- SPF hoặc DKIM: Email có mã đánh dấu giản đồ phải đến từ các miền được xác thực bằng SPF hoặc DKIM
Các biện pháp bổ sung cần thiết cho Hành động cùng dòng
Bạn nên hoặc bắt buộc phải áp dụng các biện pháp bảo mật bổ sung để bảo mật các thao tác cùng dòng:
- HTTPS: Tất cả hành động phải được xử lý thông qua URL loại HTTPS. Máy chủ lưu trữ phải cài đặt chứng chỉ máy chủ SSL hợp lệ.
- Mã truy cập: Người gửi sử dụng hành động nên nên nhúng Mã truy cập có giới hạn sử dụng vào URL của hành động để tự bảo vệ khỏi Tấn công phát lại. Đây là phương pháp hay nên áp dụng cho mọi URL được nhúng trong trang web hoặc email có thể gây ra bất kỳ tác dụng phụ nào khi được gọi.
- Uỷ quyền cho phương thức mang: Bạn nên xác minh tiêu đề "Uỷ quyền" HTTP trong yêu cầu HTTPS đối với các dịch vụ xử lý yêu cầu hành động. Tiêu đề đó sẽ chứa chuỗi "Bearer Token" (Mã thông báo xác thực), chứng minh rằng nguồn của yêu cầu là google.com và yêu cầu đó dành cho dịch vụ đã chỉ định. Các dịch vụ nên sử dụng thư viện nguồn mở do Google cung cấp để Xác minh mã thông báo thông báo.
Bảo mật các mẫu truy cập email trong trường hợp hiếm gặp
Gmail xử lý nhiều biến thể của các mẫu truy cập và chuyển tiếp email để bảo mật các hành động trong email. Các phép đo sau đây được thực hiện BỔ TRỢ cho các phép đo ở trên:
| Mẫu truy cập | Các biện pháp bảo mật bổ sung |
|---|---|
| Chuyển tiếp thủ công – Người dùng mở một email và chuyển tiếp email đó đến nhiều người nhận khác | Việc chuyển tiếp như vậy luôn làm hỏng chữ ký DKIM và người gửi không còn được đăng ký với dịch vụ nữa. Các hành động trong email sẽ bị từ chối. |
| Tự động chuyển tiếp đến Gmail – Người dùng tạo quy tắc chuyển tiếp trên hộp thư user@acme.com đến hộp thư Gmail của họ. | Gmail xác minh rằng người dùng có thể gửi dưới dạng user@acme.com (người dùng thiết lập thông tin này theo cách thủ công). Các hành động trong email được chấp nhận. |
| Tìm nạp qua giao thức POP của Gmail – Người dùng cung cấp cho Gmail mật khẩu của user@acme.com và trình tìm nạp của Gmail sẽ tìm nạp tất cả email ở đó qua giao thức POP vào hộp thư đến của Gmail. | Chữ ký DKIM và tính toàn vẹn của nội dung được giữ nguyên. Người dùng đã chứng minh quyền truy cập vào user@acme.com. Các hành động trong email được chấp nhận. |
| Truy cập vào email trên Gmail bằng ứng dụng của bên thứ ba – Người dùng Gmail sử dụng ứng dụng của bên thứ ba (ví dụ: Outlook hoặc Thunderbird) để truy cập vào email trên Gmail hoặc chuyển tiếp email trên Gmail đến một nhà cung cấp email khác. | Ứng dụng hoặc dịch vụ bên thứ ba có thể sử dụng thông tin được nhúng. Tuy nhiên, ứng dụng này sẽ không thể tạo mã thông báo xác thực người mang khớp với mã thông báo của Google, cho phép người gửi từ chối các yêu cầu hành động như vậy. Người gửi có thể chọn từ chối hoặc chấp nhận các hành động không có mã thông báo thông báo, tuỳ thuộc vào mức độ nhạy cảm của hành động. Xin lưu ý rằng mã thông báo uỷ quyền của người mang được tạo bằng các công nghệ nguồn mở tiêu chuẩn, cho phép tất cả nhà cung cấp dịch vụ thư và ứng dụng tạo mã thông báo bằng khoá của riêng họ. |