本頁說明 Gmail 如何確保動作的傳送和執行作業。
Google 強制執行的安全措施
電子郵件中嵌入的結構定義必須符合下列條件:
- 註冊:寄件者必須向 Google 註冊。
- SPF 或 DKIM:含有結構定義標記的電子郵件必須來自 已通過 SPF 或 DKIM 驗證的網域
在線行動所需的額外措施
我們建議或要求您採取額外安全措施,確保內嵌動作的安全性:
- HTTPS:所有動作「必須」透過 HTTPS 網址處理。網站代管商必須安裝有效的 SSL 伺服器憑證。
- 存取權杖:建議使用動作的傳送端在動作網址中嵌入限用存取權杖,以防範重播攻擊。對於網頁或電子郵件中嵌入的任何網址,如果在叫用時可能會產生任何副作用,這通常是較好的做法。
- 不記名憑證授權:我們建議處理動作要求的服務驗證 HTTPS 要求中的 HTTP「Authorization」標頭。該標頭會包含「Bearer Token」字串,證明要求的來源是 google.com,且要求是針對指定服務提出。服務應使用 Google 提供的開放原始碼程式庫來驗證不記名憑證。
保護極端情況的電子郵件存取模式
為了確保電子郵件中的操作安全,Gmail 會處理各種電子郵件轉寄和存取模式。除了上述評估方法外,系統也會額外執行下列評估方法:
| 存取模式 | 其他安全措施 |
|---|---|
| 手動轉寄:使用者開啟電子郵件,並轉寄給更多收件者 | 這類轉寄行為一律會破壞 DKIM 簽名,且寄件者不會再註冊這項服務。電子郵件中的動作會遭拒。 |
| 自動轉寄至 Gmail:使用者在 user@acme.com 信箱中建立轉寄規則,將郵件轉寄至 Gmail 信箱。 | Gmail 會驗證使用者是否可以以 user@acme.com 傳送郵件 (使用者必須手動設定)。電子郵件中的動作已接受。 |
| Gmail POP 擷取:使用者將 user@acme.com 的密碼提供給 Gmail,Gmail 便會透過 POP 擷取該帳戶中的所有電子郵件,並將這些郵件擷取到 Gmail 收件匣。 | 系統會保留 DKIM 簽章和內容完整性。使用者已證明自己有權存取 user@acme.com。電子郵件中的動作已接受。 |
| 使用第三方應用程式存取 Gmail 電子郵件:Gmail 使用者使用第三方應用程式 (例如 Outlook 或 Thunderbird) 存取 Gmail 電子郵件,或將 Gmail 電子郵件轉寄給其他電子郵件服務供應商。 | 第三方應用程式或服務可能會使用嵌入式資訊。不過,它無法產生與 Google 相符的權杖驗證權杖,因此寄件者可以拒絕這類動作要求。根據動作的敏感程度,傳送者可以選擇拒絕或接受不含權證權杖的動作。請注意,權杖授權權杖是使用標準開放原始碼技術建立,因此所有郵件供應商和應用程式都可以使用自己的金鑰產生權杖。 |