На этой странице описано, как Gmail обеспечивает безопасность доставки и выполнения действий.
Меры безопасности, применяемые Google.
Для схем, встроенных в электронные письма, должны выполняться следующие условия:
- Регистрация : Отправитель должен зарегистрироваться в Google .
- SPF или DKIM : электронные письма с разметкой схемы должны поступать с доменов, прошедших аутентификацию SPF или DKIM.
Для осуществления соответствующих действий необходимы дополнительные меры.
Для обеспечения безопасности действий, выполняемых непосредственно в процессе выполнения операции, требуются или рекомендуются дополнительные меры безопасности:
- HTTPS : Все действия должны обрабатываться через URL-адреса HTTPS. На хостах должны быть установлены действительные SSL-сертификаты сервера.
- Токены доступа : Отправителям, использующим действия, рекомендуется встраивать токены доступа ограниченного использования в URL-адреса действий для защиты от атак повторного воспроизведения . Это, как правило, хорошая практика для любых URL-адресов, встроенных в веб-страницы или электронные письма, которые могут иметь побочные эффекты при вызове.
- Авторизация Bearer : Рекомендуется , чтобы сервисы, обрабатывающие запросы на действия, проверяли заголовок HTTP "Authorization" в HTTPS-запросе. Этот заголовок будет содержать строку "Bearer Token", подтверждающую, что источником запроса является google.com и что запрос предназначен для указанного сервиса. Сервисы должны использовать предоставленную Google библиотеку с открытым исходным кодом для проверки Bearer Token .
Обеспечение безопасности в нестандартных ситуациях доступа к электронной почте
Gmail использует различные варианты пересылки электронной почты и шаблоны доступа для обеспечения безопасности действий с электронными письмами. Следующие меры выполняются В ДОПОЛНЕНИЕ к вышеуказанным:
| Шаблон доступа | Дополнительные меры безопасности |
|---|---|
| Ручная пересылка — пользователь открывает электронное письмо и пересылает его нескольким получателям. | Подобная пересылка всегда нарушает DKIM-подписи, и отправитель больше не регистрируется в сервисе. Действия в электронном письме отклоняются . |
| Автоматическая пересылка в Gmail — Пользователь создает правило пересылки для почтового ящика user@acme.com на свой почтовый ящик Gmail. | Gmail проверяет, может ли пользователь отправлять письма от имени пользователя user@acme.com (пользователь настраивает это вручную). Действия в электронном письме принимаются . |
| Получение писем через POP в Gmail — Пользователь предоставляет Gmail пароль от user@acme.com, и Gmail получает все письма с этого адреса через POP в папку «Входящие» Gmail. | Подписи DKIM и целостность содержимого сохранены. Пользователь имеет подтвержденный доступ к user@acme.com. Действия, указанные в электронном письме, принимаются . |
| Доступ к электронной почте Gmail с помощью сторонних приложений — пользователь Gmail использует стороннее приложение (например, Outlook или Thunderbird) для доступа к электронной почте Gmail или пересылает свою почту Gmail другому почтовому провайдеру. | Сторонние приложения или сервисы могут использовать встроенную информацию. Однако они не смогут создавать токены аутентификации носителя, совпадающие с токенами Google, что даст отправителям возможность отклонять такие запросы на действия. Отправители могут выбирать, отклонять или принимать действия без токенов носителя, в зависимости от конфиденциальности действия. Обратите внимание, что токен авторизации носителя создается с использованием стандартных технологий с открытым исходным кодом, что позволяет всем почтовым провайдерам и приложениям создавать их, используя собственные ключи. |