این صفحه مستند میکند که چگونه Gmail تحویل و اجرای اقدامات را ایمن میکند.
اقدامات امنیتی اعمال شده توسط گوگل
شرایط زیر باید برای طرحوارههای تعبیهشده در ایمیل برقرار باشد:
- ثبت نام : فرستنده باید در گوگل ثبت نام کند .
- SPF یا DKIM : ایمیلهای دارای نشانهگذاری اسکیما باید از دامنههای تأیید شده توسط SPF یا DKIM دریافت شوند.
اقدامات تکمیلی مورد نیاز برای اقدامات درون خطی
اقدامات امنیتی اضافی برای ایمنسازی اقدامات درونخطی مورد نیاز یا تشویق هستند:
- HTTPS : همه اقدامات باید از طریق URL های HTTPS انجام شوند. میزبانها باید گواهیهای معتبر سرور SSL نصب شده داشته باشند.
- توکنهای دسترسی : توصیه میشود فرستندگانی که از اکشنها استفاده میکنند ، توکنهای دسترسی با کاربرد محدود را در URLهای اکشن جاسازی کنند تا خود را در برابر حملات بازپخش محافظت کنند. این یک روش کلی خوب برای هر URL جاسازی شده در صفحات وب یا ایمیلهایی است که ممکن است هنگام فراخوانی عوارض جانبی داشته باشند.
- مجوز حامل : توصیه میشود سرویسهایی که درخواستهای اقدام را مدیریت میکنند، هدر Http "Authorization" را در درخواست HTTPS تأیید کنند. این هدر حاوی یک رشته "Bearer Token" خواهد بود که ثابت میکند منبع درخواست google.com است و درخواست برای سرویس مشخص شده در نظر گرفته شده است. سرویسها باید از کتابخانه متنباز ارائه شده توسط گوگل برای تأیید توکن حامل استفاده کنند.
ایمنسازی الگوهای دسترسی به ایمیل در موارد خاص
انواع مختلفی از الگوهای ارسال و دسترسی ایمیل وجود دارد که جیمیل برای ایمنسازی اقدامات در ایمیلها از آنها استفاده میکند. این اقدامات علاوه بر اقدامات فوق انجام میشوند:
| الگوی دسترسی | اقدامات امنیتی اضافی |
|---|---|
| ارسال دستی - کاربر ایمیلی را باز میکند و آن را به گیرندگان بیشتری ارسال میکند. | چنین ارسالهایی همیشه امضاهای DKIM را نقض میکنند و فرستنده دیگر در این سرویس ثبت نشده است. اقدامات انجام شده در ایمیل رد میشوند. |
| ارسال خودکار به جیمیل - کاربر یک قانون ارسال ایمیل از صندوق پستی user@acme.com به صندوق پستی جیمیل خود ایجاد میکند. | جیمیل تأیید میکند که کاربر میتواند به عنوان user@acme.com ایمیل ارسال کند (کاربر این مورد را به صورت دستی تنظیم میکند). اقدامات در ایمیل پذیرفته میشوند. |
| واکشی ایمیل از طریق POP در جیمیل - کاربر رمز عبور user@acme.com را به جیمیل میدهد و جیمیل تمام ایمیلهای موجود در آنجا را از طریق POP به صندوق ورودی جیمیل واکشی میکند. | امضاهای DKIM و تمامیت محتوا حفظ شده است. کاربر دسترسی اثباتشده به user@acme.com دارد. اقدامات در ایمیل پذیرفته میشوند. |
| دسترسی به ایمیلهای جیمیل با برنامههای شخص ثالث - کاربر جیمیل از یک برنامه شخص ثالث (مثلاً Outlook یا Thunderbird) برای دسترسی به ایمیلهای جیمیل استفاده میکند یا ایمیلهای جیمیل خود را به ارائهدهنده ایمیل دیگری ارسال میکند. | ممکن است برنامه یا سرویس شخص ثالث از اطلاعات تعبیهشده استفاده کند. با این حال، قادر به تولید توکنهای احراز هویت حامل که با توکنهای گوگل مطابقت داشته باشند، نخواهد بود و به فرستندگان این امکان را میدهد که چنین درخواستهای عملی را رد کنند. فرستندگان میتوانند بسته به حساسیت اقدام، انتخاب کنند که آیا اقدامات بدون توکنهای حامل را رد یا قبول کنند. توجه داشته باشید که توکن مجوز حامل با استفاده از فناوریهای استاندارد متنباز ایجاد میشود و این امکان را برای همه ارائهدهندگان و برنامههای ایمیل فراهم میکند تا آنها را با استفاده از کلیدهای خود تولید کنند. |