本頁內容說明 Gmail 如何確保傳送和執行動作的安全性。
Google 強制執行的安全措施
電子郵件內嵌的結構定義必須符合下列條件:
- 註冊:寄件者必須向 Google 註冊。
- SPF 或 DKIM:含有結構定義標記的電子郵件「必須」從 SPF 或 DKIM 驗證的網域傳送
執行內嵌動作所需的其他措施
必須採取額外的安全措施或鼓勵使用者採取額外的安全措施,確保內嵌動作安全無虞:
- HTTPS:所有動作都「必須」透過 HTTPS 網址處理。主機必須安裝有效的 SSL 伺服器憑證。
- 存取權杖:建議寄件者使用動作在動作網址中嵌入限定使用存取權杖,以保護自己免受 Replay 攻擊。對於網頁或電子郵件中內嵌的所有網址,在叫用時可能會造成任何副作用。
- 優先授權:建議服務處理動作要求時驗證 HTTPS 要求中的 HTTP 「Authorization」標頭。這個標頭會包含「暫時憑證」字串,證明要求的來源為 google.com,而且該要求是針對指定的服務。服務應使用 Google 提供的開放原始碼程式庫驗證不記名權杖。
保護邊緣電子郵件存取權模式
為了確保電子郵件的安全性,Gmail 會處理多種變化的電子郵件轉寄功能和存取模式。下列測量結果會以 IN ADDITION 執行,並用於上述措施:
| 存取模式 | 其他安全措施 |
|---|---|
| 手動轉寄:使用者開啟電子郵件,並將郵件轉寄給更多收件者 | 這類轉寄功能一律會破壞 DKIM 簽名,且寄件者已不再註冊該服務。電子郵件中的動作已遭到拒絕。 |
| 自動轉寄到 Gmail:使用者為信箱 user@acme.com 建立轉寄至 Gmail 信箱的轉送規則。 | Gmail 會驗證使用者是否能夠以 user@acme.com 的身分傳送郵件 (由使用者手動設定)。電子郵件中的行動已接受。 |
| Gmail POP 擷取:使用者將透過 POP 存取的所有電子郵件提供給 Gmail 和 Gmail 擷取者。 | 系統會保留 DKIM 簽名和內容完整性。經驗證的使用者可存取 user@acme.com。電子郵件中的動作已接受。 |
| 透過第三方應用程式存取 Gmail 電子郵件:Gmail 使用者使用第三方應用程式 (例如 Outlook 或 Thunderbird) 存取 Gmail 電子郵件,或將 Gmail 電子郵件轉寄至其他電子郵件服務供應商。 | 第三方應用程式或服務可能會使用嵌入資訊。但無法產生與 Google 相符的不記名驗證權杖,讓寄件者有機會拒絕這類動作要求。寄件者可以根據動作的敏感程度,選擇拒絕或接受沒有不記名憑證的動作。請注意,原定授權權杖是使用標準開放原始碼技術建立而成,可讓所有郵件服務供應商和應用程式使用自己的金鑰產生授權權杖。 |