En esta página, se documenta cómo Gmail protege la entrega y ejecución de acciones.
Medidas de seguridad aplicadas por Google
Las siguientes condiciones deben ser válidas para los esquemas incorporados en el correo electrónico:
- Registro: El remitente debe Registrarse con Google.
- SPF o DKIM: Los correos electrónicos con lenguaje de marcado de esquema deben llegar desde dominios autenticados en SPF o DKIM.
Se requieren medidas adicionales para las acciones en línea
Se requieren o se recomiendan medidas de seguridad adicionales para garantizar las acciones intercaladas:
- HTTPS: Todas las acciones deben controlarse mediante URLs HTTPS. Los hosts deben tener instalados certificados de servidor SSL válidos.
- Tokens de acceso: Se recomienda que los remitentes que usan acciones incorporen tokens de acceso de uso limitado en las URLs de acción para protegerse contra ataques de repetición. Esta es una práctica recomendada para cualquier URL incorporada en páginas web o correos electrónicos que podría tener efectos secundarios cuando se invoca.
- Autorización del portador: Se recomienda que los servicios que manejan las solicitudes de acción verifiquen el encabezado HTTP "Authorization" en la solicitud HTTPS. Ese encabezado contendrá una cadena "Bearer Token", lo que demuestra que el origen de la solicitud es google.com y que la solicitud está dirigida al servicio especificado. Los servicios deben usar la biblioteca de código abierto proporcionada por Google para Verify the Bearer Token.
Protege patrones de acceso de correo electrónico de casos extremos
Para proteger las acciones en los correos electrónicos, Gmail controla diversas variantes de los patrones de acceso y reenvío de correo electrónico. Las siguientes mediciones se realizan ADEMÁS de las anteriores:
| Patrón de acceso | Medidas de Seguridad Adicionales |
|---|---|
| Reenvío manual: El usuario abre un correo electrónico y lo reenvía a más destinatarios. | Este reenvío siempre rompe las firmas DKIM, y el remitente ya no está registrado en el servicio. Se rechazaron acciones del correo electrónico. |
| Reenvío automático a Gmail: El usuario crea una regla de reenvío en el buzón de usuario@acme.com a su buzón de Gmail. | Gmail verifica que el usuario pueda enviar mensajes como user@acme.com (el usuario configura esta opción manualmente). Se aceptan las acciones indicadas en el correo electrónico. |
| Recuperación de POP de Gmail: El usuario le proporciona a Gmail la contraseña para user@acme.com y a los buscadores de Gmail todos los correos electrónicos que se envían a través de POP a la carpeta Recibidos de Gmail. | Las firmas DKIM y la integridad del contenido se conservan. El usuario demostró tener acceso a user@acme.com. Se aceptan las acciones del correo electrónico. |
| Acceso al correo electrónico de Gmail con aplicaciones de terceros: Los usuarios de Gmail utilizan una aplicación de terceros (p.ej., Outlook o Thunderbird) para acceder a los correos electrónicos de Gmail o reenvían sus mensajes de Gmail a otro proveedor de correo electrónico. | Es posible que la aplicación o el servicio de terceros utilicen información incorporada. Sin embargo, no podrá generar tokens de autenticación del portador que coincidan con los de Google, lo que dará a los remitentes la oportunidad de rechazar esas solicitudes de acción. Los remitentes pueden elegir si rechazan o aceptan acciones sin tokens del portador, en función de la sensibilidad de la acción. Ten en cuenta que el token de autorización del portador se crea mediante el uso de tecnologías de código abierto estándar que permiten que todos los proveedores de correo y apps los produzcan usando sus propias claves. |