אבטחת פעולות

בדף הזה מוסבר איך Gmail מאבטח את השליחה והביצוע של פעולות.

אמצעי אבטחה שנאכפים על ידי Google

התנאים הבאים צריכים להתקיים לגבי סכימות שמוטמעות באימייל:

• רישום: השולח צריך להירשם ב-Google.
• ‫SPF או DKIM: הודעות אימייל עם תגי עיצוב סכמה חייבות להגיע מדומיינים שעברו אימות באמצעות SPF או DKIM

נדרשים אמצעים נוספים לפעולות בתוך השורה

כדי לאבטח פעולות מוטבעות, צריך להשתמש באמצעי אבטחה נוספים או מומלץ להשתמש בהם:

• ‫HTTPS: כל הפעולות חייבות להתבצע באמצעות כתובות URL מסוג HTTPS. למארחים צריכים להיות אישורי שרת SSL תקפים.
• טוקנים לגישה: מומלץ לשולחים שמשתמשים בפעולות להטמיע טוקנים לגישה לשימוש מוגבל בכתובות ה-URL של הפעולות, כדי להגן על עצמם מפני התקפות חוזרות. זו בדרך כלל שיטה מומלצת לכל כתובת URL שמוטמעת בדפי אינטרנט או באימיילים, שיכולות להיות לה תופעות לוואי כשמפעילים אותה.
• אימות באמצעות טוקן Bearer: מומלץ ששירותים שמטפלים בבקשות לפעולה יאמתו את כותרת ה-HTTP Authorization בבקשת ה-HTTPS. הכותרת הזו תכיל מחרוזת של Bearer Token, שמוכיחה שמקור הבקשה הוא google.com, ושמיועדת לשירות שצוין. השירותים צריכים להשתמש בספריית הקוד הפתוח ש-Google מספקת כדי לאמת את אסימון ה-Bearer.

אבטחת דפוסי גישה לאימייל במקרי קצה

יש וריאציות שונות של העברת אימייל ודפוסי גישה ש-Gmail מטפל בהם כדי לאבטח פעולות באימיילים. המדדים הבאים מחושבים בנוסף למדדים שצוינו למעלה:

דפוס הגישה	אמצעי אבטחה נוספים
העברה ידנית – המשתמש פותח אימייל ומעביר אותו לנמענים נוספים	העברה כזו תמיד גורמת לשבירה של חתימות DKIM, והשולח כבר לא רשום בשירות. הפעולות באימייל נדחות.
העברה אוטומטית ל-Gmail – משתמש יוצר כלל העברה בתיבת הדואר user@acme.com לתיבת הדואר שלו ב-Gmail.	מערכת Gmail מאמתת שהמשתמש יכול לשלוח אימייל בתור user@acme.com (המשתמש מגדיר את זה באופן ידני). הפעולות באימייל אושרו.
אחזור הודעות ב-Gmail באמצעות POP – המשתמש נותן ל-Gmail את הסיסמה של user@acme.com ו-Gmail מאחזר את כל האימיילים באמצעות POP לתיבת הדואר הנכנס של Gmail.	חתימות ה-DKIM והשלמות של התוכן נשמרות. המשתמש הוכיח שיש לו גישה לכתובת user@acme.com. הפעולות באימייל הן accepted.
גישה להודעות אימייל ב-Gmail באמצעות אפליקציות של צד שלישי – משתמש Gmail ניגש להודעות אימייל ב-Gmail באמצעות אפליקציה של צד שלישי (למשל Outlook או Thunderbird), או מעביר את הודעות האימייל שלו ב-Gmail לספק אימייל אחר.	יכול להיות שאפליקציה או שירות של צד שלישי ישתמשו במידע מוטמע. עם זאת, הוא לא יוכל ליצור אסימוני אימות מסוג bearer שתואמים לאסימונים של Google, ולכן השולחים יוכלו לדחות בקשות כאלה לפעולה. השולחים יכולים לבחור אם לדחות או לאשר פעולות ללא טוקנים מסוג bearer, בהתאם לרגישות של הפעולה. חשוב לציין שאסימון ההרשאה מסוג bearer נוצר באמצעות טכנולוגיות סטנדרטיות של קוד פתוח, כך שכל ספקי האימייל והאפליקציות יכולים ליצור אותו באמצעות המפתחות שלהם.