Questa pagina documenta il modo in cui Gmail protegge la consegna e l'esecuzione delle azioni.
Misure di sicurezza applicate da Google
Per gli schemi incorporati nelle email devono essere soddisfatte le seguenti condizioni:
- Registrazione: il mittente deve Registrati presso Google.
- SPF o DKIM: le email con markup schema devono provenire da domini autenticati tramite SPF o DKIM
Misure aggiuntive necessarie per le azioni in linea
Sono richieste o incoraggiate misure di sicurezza aggiuntive per proteggere le azioni in linea:
- HTTPS: tutte le azioni devono essere gestite tramite URL HTTPS. Negli host devono essere installati certificati server SSL validi.
- Token di accesso: consigliamo che i mittenti che utilizzano le azioni incorporino i token di accesso limitato negli URL delle azioni per proteggersi dagli attacchi di ripetizione. Si tratta di una buona pratica per tutti gli URL incorporati in pagine web o email che potrebbero avere effetti collaterali quando vengono richiamati.
- Autorizzazione alla trasmissione: si consiglia che i servizi che gestiscono le richieste di azione di verificare l'intestazione "Authorization" HTTP nella richiesta HTTPS. L'intestazione conterrà una stringa "Token Bearer", a dimostrazione che l'origine della richiesta è google.com e che la richiesta è destinata al servizio specificato. I servizi devono utilizzare la libreria open source fornita da Google per verificare il token di connessione.
Protezione dei pattern di accesso alle email in caso di casi limite
Esistono varie varianti di inoltro e pattern di accesso alle email che Gmail gestisce per proteggere le azioni nelle email. Queste seguenti misurazioni vengono eseguite IN AGGIUNTA alle misure precedenti:
| Sequenza di accesso | Misure di sicurezza aggiuntive |
|---|---|
| Inoltro manuale: l'utente apre un'email e la inoltra ad altri destinatari | L'inoltro interrompe sempre le firme DKIM e il mittente non è più registrato con il servizio. Le azioni nell'email vengono rifiutate. |
| Inoltro automatico a Gmail: l'utente crea una regola di inoltro per la casella di posta utente@acme.com alla propria casella di posta Gmail. | Gmail verifica che l'utente possa inviare messaggi come utente@acme.com (l'utente configura questa impostazione manualmente). Le azioni nell'email sono accettate. |
| Recupero POP di Gmail: l'utente fornisce a Gmail la password per utente@acme.com e ai fetcher di Gmail di tutte le email inviate tramite POP alla Posta in arrivo di Gmail. | Le firme DKIM e l'integrità dei contenuti vengono preservate. L'utente ha dimostrato l'accesso all'indirizzo utente@acme.com. Le azioni indicate nell'email sono accettate. |
| Accesso alle email di Gmail con applicazioni di terze parti: l'utente di Gmail utilizza un'applicazione di terze parti (ad esempio, Outlook o Thunderbird) per accedere alle email di Gmail o inoltra le sue email a un altro provider di posta elettronica. | Un'applicazione o un servizio di terze parti potrebbe utilizzare informazioni incorporate. Tuttavia, non sarà in grado di generare token di autenticazione di connessione corrispondenti a quelli di Google, dando ai mittenti la possibilità di rifiutare queste richieste di azione. I mittenti possono scegliere se rifiutare o accettare azioni senza token di connessione, a seconda della sensibilità dell'azione. Tieni presente che il token di autorizzazione di connessione viene creato utilizzando tecnologie open source standard che consentono a tutti i provider di posta e le app di produrli utilizzando le proprie chiavi. |