保护操作

本页介绍了 Gmail 如何确保操作的交付和执行安全无虞。

Google 强制执行的安全措施

对于嵌入电子邮件中的架构,必须满足以下条件:

内嵌操作所需的额外措施

为了确保内嵌操作的安全,需要或建议采取额外的安全措施:

  • HTTPS:所有操作必须通过 HTTPS 网址处理。主机必须安装有效的 SSL 服务器证书。
  • 访问令牌建议使用操作的发送者在操作网址中嵌入限次使用访问令牌,以防范重放攻击。对于嵌入网页或电子邮件中可能在调用时产生任何副作用的任何网址,这都是一种普遍适用的良好做法。
  • 不记名授权建议处理操作请求的服务验证 HTTPS 请求中的 HTTP“Authorization”标头。该标头将包含“Bearer Token”字符串,证明请求的来源是 google.com,并且请求是针对指定的服务。服务应使用 Google 提供的开源库来验证不记名令牌

确保边缘情况下的电子邮件访问模式安全无虞

Gmail 会处理各种电子邮件转发和访问模式,以确保电子邮件中的操作安全无虞。除了上述衡量指标外,还需执行以下衡量:

访问模式 其他安全措施
手动转发 - 用户打开电子邮件并将其转发给更多收件人 此类转发始终会破坏 DKIM 签名,并且发件人不再注册此服务。电子邮件中的操作被拒绝
自动转发到 Gmail - 用户在邮箱 user@acme.com 中创建转发规则,以将邮件转发到其 Gmail 邮箱。 Gmail 会验证用户是否可以以 user@acme.com 的身份发送电子邮件(用户手动设置此项)。电子邮件中的操作已接受
Gmail POP 提取 - 用户向 Gmail 提供 user@acme.com 的密码,然后 Gmail 通过 POP 将该地址中的所有电子邮件提取到 Gmail 收件箱。 DKIM 签名和内容完整性会保留。用户已证明自己有权访问 user@acme.com。电子邮件中的操作已接受
使用第三方应用访问 Gmail 电子邮件 - Gmail 用户使用第三方应用(例如 Outlook 或 Thunderbird)访问 Gmail 电子邮件,或将其 Gmail 电子邮件转发给其他电子邮件服务提供商。 第三方应用或服务可能会使用嵌入式信息。不过,它将无法生成与 Google 的令牌匹配的令牌,从而让发件人有机会拒绝此类操作请求。发件人可以选择拒绝还是接受没有不记名令牌的操作,具体取决于操作的敏感程度。请注意,持有者授权令牌是使用标准开源技术创建的,因此所有邮件提供商和应用都可以使用自己的密钥生成此类令牌。