توثِّق هذه الصفحة كيفية تأمين Gmail لتسليم الإجراءات وتنفيذها.
الإجراءات الأمنية التي تنفّذها Google
يجب أن تنطبق الشروط التالية على المخططات المضمَّنة في البريد الإلكتروني:
- التسجيل: على المُرسِل التسجيل في Google.
- نظام التعرّف على هوية المُرسِل (SPF) أو البريد المُعرَّف بمفاتيح النطاق (DKIM): يجب أن تصل الرسائل الإلكترونية التي تتضمن ترميز المخطط من نطاقات نظام التعرّف على هوية المرسل (SPF) أو DKIM.
مطلوب اتّخاذ إجراءات إضافية للإجراءات المضمّنة
يجب اتِّخاذ تدابير أمان إضافية أو تشجيعنا على تأمينها:
- HTTPS: يجب معالجة جميع الإجراءات من خلال عناوين URL التي تستخدم HTTPS. يجب أن يكون لدى المضيفين شهادات صالحة لخادم طبقة المقابس الآمنة (SSL) مثبتة.
- رموز الدخول: ننصح بأن يضمِّن المُرسِلون الذين يستخدمون الإجراءات رموز دخول محدودة الاستخدام في عناوين URL للإجراءات من أجل حماية أنفسهم من الهجمات إعادة تشغيل. ويُعدّ ذلك ممارسة جيدة بشكل عام لأي عنوان URL مضمّن في صفحات الويب أو الرسائل الإلكترونية التي قد يكون لها أي آثار جانبية عند طلبها.
- تفويض الحامل: ننصح بأن تتحقق الخدمات التي تعالج طلبات الإجراءات من رأس "تفويض" Http في طلب HTTPS. سيحتوي هذا الرأس على سلسلة "رمز الحامل المميز"، مما يثبت أن مصدر الطلب هو google.com، وأن الطلب مخصص للخدمة المحدّدة. يجب أن تستخدم الخدمات مكتبة البرامج المفتوحة المصدر التي توفّرها Google من أجل التحقّق من رمز الحامل المميّز.
تأمين أنماط الوصول إلى البريد الإلكتروني في حالات الحافة
هناك العديد من المتغيرات لأنماط إعادة توجيه الرسائل الإلكترونية والوصول إليها والتي يعالجها Gmail لتأمين الإجراءات في الرسائل الإلكترونية. يتم تنفيذ هذه القياسات التالية إضافةً إلى المقاييس أعلاه:
| نمط الوصول | إجراءات أمان إضافية |
|---|---|
| إعادة التوجيه اليدوي - يفتح المستخدم رسالة إلكترونية ويعيد توجيهها إلى مزيد من المستلمين | تؤدي عملية إعادة التوجيه هذه دائمًا إلى إيقاف توقيعات DKIM، ولم يعُد المُرسِل مسجّلاً في الخدمة. تم رفض الإجراءات الواردة في الرسالة الإلكترونية. |
| إعادة التوجيه التلقائي إلى Gmail - تُنشئ المستخدم قاعدة إعادة توجيه على صندوق البريد user@acme.com إلى صندوق بريدها على Gmail. | يتحقّق Gmail من أنّه يمكن للمستخدم الإرسال باسم user@acme.com (يعدّ المستخدم هذا الخيار يدويًا). تم قبول الإجراءات في الرسالة الإلكترونية. |
| جلب بروتوكول POP في Gmail - يمنح المستخدم Gmail كلمة المرور للمستخدم user@acme.com ويجلب Gmail جميع الرسائل الإلكترونية هناك عبر بروتوكول POP إلى البريد الوارد في Gmail. | ويتم الحفاظ على توقيعات DKIM وسلامة المحتوى. أثبت المستخدم ملكيته للموقع الإلكتروني user@acme.com. وتم قبول الإجراءات الواردة في الرسالة الإلكترونية. |
| الوصول إلى رسائل Gmail الإلكترونية باستخدام تطبيقات تابعة لجهات خارجية - تستخدم مستخدم Gmail تطبيقًا تابعًا لجهة خارجية (مثل Outlook أو Thunderbird) للدخول إلى رسائل Gmail الإلكترونية، أو تعيد توجيه رسائل Gmail الإلكترونية إلى مزود بريد إلكتروني آخر. | وقد يستخدم التطبيق أو الخدمة التابعان لجهة خارجية المعلومات المضمّنة. ومع ذلك، لن يتمكن البرنامج من إنشاء رموز مميزة لمصادقة الحامل تتطابق مع رموز Google، ما يمنح المرسلين الفرصة لرفض طلبات الإجراءات هذه. ويمكن للمرسلين اختيار ما إذا كانوا سيرفضون أو سيرفضون إجراءات بدون رموز الحامل المميزة، وذلك حسب حساسية الإجراء. يتم إنشاء الرمز المميز لتفويض الحامل باستخدام تقنيات مفتوحة المصدر قياسية، مما يتيح لجميع مزودي خدمة البريد والتطبيقات الحصول على هذه الرموز باستخدام مفاتيحها الخاصة. |