작업 보안

이 페이지에서는 Gmail에서 작업의 전송 및 실행을 보호하는 방법을 설명합니다.

Google에서 시행하는 보안 조치

이메일에 삽입된 스키마에는 다음 조건이 적용됩니다.

• 등록: 발신자가 Google에 등록해야 합니다.
• SPF 또는 DKIM: 스키마 마크업이 포함된 이메일은 SPF 또는 DKIM 인증 도메인에서 도착해야 합니다.

인라인 작업에 필요한 추가 조치

인라인 작업을 보호하기 위해 추가 보안 조치가 필요하거나 권장됩니다.

• HTTPS: 모든 작업은 HTTPS URL을 통해 처리해야 합니다. 호스트에는 유효한 SSL 서버 인증서가 설치되어 있어야 합니다.
• 액세스 토큰: 작업을 사용하는 발신자는 재생 공격으로부터 보호하기 위해 작업 URL에 제한된 사용 액세스 토큰을 삽입하는 것이 권장됩니다. 이는 호출 시 부작용이 발생할 수 있는 웹페이지 또는 이메일에 삽입된 모든 URL에 일반적으로 권장되는 방법입니다.
• Bearer 승인: 작업 요청을 처리하는 서비스는 HTTPS 요청에서 HTTP '승인' 헤더를 확인하는 것이 좋습니다. 이 헤더에는 요청의 소스가 google.com이고 요청이 지정된 서비스를 위한 것임을 증명하는 'Bearer Token' 문자열이 포함됩니다. 서비스는 Google에서 제공하는 오픈소스 라이브러리를 사용하여 Bearer 토큰을 확인해야 합니다.

특이 사례 이메일 액세스 패턴 보안

Gmail은 이메일의 작업을 보호하기 위해 다양한 이메일 전달 및 액세스 패턴을 처리합니다. 다음 측정은 위의 측정 외에 추가로 실행됩니다.

액세스 패턴	추가 보안 조치
수동 전달 - 사용자가 이메일을 열고 더 많은 수신자에게 전달합니다.	이러한 전달은 항상 DKIM 서명을 깨뜨리며 발신자는 더 이상 서비스에 등록되지 않습니다. 이메일의 작업이 거부됩니다.
Gmail로 자동 전달 - 사용자가 편지함 user@acme.com에서 자신의 Gmail 편지함으로 전달 규칙을 만듭니다.	Gmail은 사용자가 user@acme.com으로 보낼 수 있는지 확인합니다 (사용자가 직접 설정). 이메일의 작업이 수락됩니다.
Gmail POP 가져오기 - 사용자가 Gmail에 user@acme.com의 비밀번호를 제공하면 Gmail이 POP를 통해 모든 이메일을 Gmail 받은편지함으로 가져옵니다.	DKIM 서명과 콘텐츠 무결성이 유지됩니다. 사용자가 user@acme.com에 액세스할 수 있음을 증명했습니다. 이메일의 작업이 수락됩니다.
서드 파티 애플리케이션으로 Gmail 이메일에 액세스 - Gmail 사용자가 서드 파티 애플리케이션 (예: Outlook 또는 Thunderbird)을 사용하여 Gmail 이메일에 액세스하거나 Gmail 이메일을 다른 이메일 제공업체로 전달합니다.	서드 파티 애플리케이션 또는 서비스에서 삽입된 정보를 사용할 수 있습니다. 하지만 Google과 일치하는 운반자 인증 토큰을 생성할 수 없으므로 발신자가 이러한 작업 요청을 거부할 수 있습니다. 발신자는 작업의 민감도에 따라 베어러 토큰이 없는 작업을 거부할지 수락할지 선택할 수 있습니다. 전달자 승인 토큰은 표준 오픈소스 기술을 사용하여 생성되므로 모든 메일 제공업체와 앱이 자체 키를 사용하여 토큰을 생성할 수 있습니다.