이 페이지에서는 Gmail에서 작업 전송 및 실행을 보호하는 방법을 설명합니다.
Google에서 시행하는 보안 조치
이메일에 삽입된 스키마의 경우 다음 조건이 충족되어야 합니다.
- 등록: 발송인이 Google에 등록해야 합니다.
- SPF 또는 DKIM: 스키마 마크업이 포함된 이메일은 SPF 또는 DKIM 인증 도메인에서 도착해야 합니다.
인라인 작업에 필요한 추가 조치
인라인 작업의 보안을 강화하려면 추가적인 보안 조치가 필요하거나 권장됩니다.
- HTTPS: 모든 작업은 HTTPS URL을 통해 처리해야 합니다. 호스트에 유효한 SSL 서버 인증서가 설치되어 있어야 합니다.
- 액세스 토큰: 작업을 사용하는 발신자는 재전송 공격으로부터 스스로를 보호하기 위해 작업 URL에 제한된 사용 액세스 토큰을 삽입하도록 권장합니다. 이는 호출 시 부작용이 발생할 수 있는 웹페이지 또는 이메일에 삽입된 URL에 일반적으로 좋은 방법입니다.
- Bearer 승인: 작업 요청을 처리하는 서비스에서 HTTPS 요청의 Http 'Authorization' 헤더를 확인하도록 권장합니다. 이 헤더에는 'Bearer 토큰' 문자열이 포함되어 있어 요청 소스가 google.com이고 요청이 지정된 서비스를 위한 것임을 증명합니다. 서비스는 Bearer 토큰 확인을 위해 Google에서 제공하는 오픈소스 라이브러리를 사용해야 합니다.
특이 사례 이메일 액세스 패턴 보호
이메일 내 작업을 보호하기 위해 Gmail에서 처리하는 이메일 전달 및 액세스 패턴에는 다양한 변형이 있습니다. 다음 측정은 위의 측정값에 추가로 수행됩니다.
| 액세스 패턴 | 추가 보안 조치 |
|---|---|
| 수동 전달 - 사용자가 이메일을 열어 더 많은 수신자에게 전달합니다. | 이러한 전달은 항상 DKIM 서명을 위반하며 발신자는 더 이상 서비스에 등록되지 않습니다. 이메일에 포함된 작업이 거부됩니다. |
| Gmail로 자동 전달 - 사용자가 user@acme.com 편지함에서 Gmail 편지함으로 전달 규칙을 만듭니다. | Gmail에서는 사용자가 user@acme.com으로 이메일을 보낼 수 있는지 확인합니다 (사용자가 수동으로 설정함). 이메일에서 수행하는 작업은 허용됩니다. |
| Gmail POP 가져오기: 사용자가 Gmail에 user@acme.com의 비밀번호를 제공하고 Gmail 가져오기 프로그램에서 모든 이메일의 경우 POP를 통해 Gmail 받은편지함으로 전송됩니다. | DKIM 서명 및 콘텐츠 무결성이 보존됩니다. user@acme.com에 대한 액세스 권한이 있음을 증명했습니다. 이메일에 포함된 작업은 허용됩니다. |
| 타사 애플리케이션으로 Gmail 이메일에 액세스: Gmail 사용자가 타사 애플리케이션 (예: Outlook 또는 Thunderbird)을 사용하여 Gmail 이메일에 액세스하거나 Gmail 이메일을 다른 이메일 제공업체로 전달합니다. | 서드 파티 애플리케이션 또는 서비스가 삽입된 정보를 사용할 수 있습니다. 그러나 Google과 일치하는 Bearer 인증 토큰을 생성할 수 없으므로 발신자가 이러한 작업 요청을 거부할 수 있습니다. 발신자는 작업의 민감도에 따라 Bearer 토큰이 없는 작업을 거부할지 수락할지 선택할 수 있습니다. Bearer 인증 토큰은 표준 오픈소스 기술을 사용하여 생성되므로 모든 메일 제공업체와 앱에서 자체 키를 사용하여 생성할 수 있습니다. |