בדף הזה מתואר איך Gmail מאבטח את המסירה והביצוע של פעולות.
אמצעי אבטחה ש-Google אוכפת
התנאים הבאים חייבים להתקיים עבור סכימות שמוטמעות באימייל:
- הרשמה: השולח חייב להירשם באמצעות Google.
- SPF או DKIM: הודעות אימייל עם תגי עיצוב של סכימה חייבות להגיע מדומיינים שאומתו באמצעות SPF או DKIM.
נדרשים אמצעים נוספים לפעולות בתוך השורה
אנחנו נדרשים או מעודדים אמצעי אבטחה נוספים כדי לאבטח פעולות בתוך השורה:
- HTTPS: חובה לטפל בכל הפעולות באמצעות כתובות URL מסוג HTTPS. חובה להתקין אישורים חוקיים של שרת SSL אצל המארחים.
- אסימוני גישה: מומלץ לשולחים שמשתמשים בפעולות להטמיע אסימוני גישה לשימוש מוגבל בכתובות ה-URL של הפעולות, כדי להגן על עצמם מפני התקפות הפעלה מחדש. בדרך כלל, זוהי שיטת עבודה מומלצת לגבי כל כתובת URL שמוטמעת בדפי אינטרנט או באימיילים, ושעשויות להיות להם תופעות לוואי אם מפעילים אותן.
- הרשאה למוכ"ז: מומלץ ששירותים המטפלים בבקשות פעולה מאמתים את כותרת Http Authorization בבקשת ה-HTTPS. הכותרת הזו תכיל מחרוזת מסוג "Token Token" שמוכיחה שמקור הבקשה הוא google.com, ושהבקשה מיועדת לשירות שצוין. השירותים צריכים להשתמש בספריית הקוד הפתוח ש-Google מספקת כדי לאמת את אסימון הנושא.
אבטחת דפוסי גישה לאימייל במקרי קצה
יש גרסאות שונות של העברת אימייל ושל דפוסי גישה שבהם Gmail מטפל כדי לבצע פעולות מאובטחות באימייל. מדידות אלה מתבצעות IN ADDITION למדדים שלמעלה:
| דפוס גישה | אמצעי אבטחה נוספים |
|---|---|
| העברה ידנית – המשתמש פותח הודעת אימייל ומעביר אותה לנמענים נוספים. | העברה כזו תמיד מפסיקה חתימות DKIM, והשולח לא רשום יותר בשירות. פעולות באימייל נדחות. |
| העברה אוטומטית ל-Gmail – המשתמש יוצרת כלל העברה בתיבת הדואר הנכנס user@acme.com אל תיבת הדואר שלה ב-Gmail. | Gmail מאמת שהמשתמש יכול לשלוח את הכתובת בתור user@acme.com (המשתמש מגדיר את הכתובת הזו באופן ידני). פעולות באימייל מותרות. |
| אחזור POP של Gmail – המשתמש נותן ל-Gmail את הסיסמה של user@acme.com ו-Gmail מאחזר את כל הודעות האימייל האלה דרך POP לתיבת הדואר הנכנס של Gmail. | חתימות DKIM ותקינות התוכן נשמרים. למשתמש יש גישה מוכחת לכתובת user@acme.com. פעולות באימייל מתקבלות. |
| גישה לאימיילים של Gmail באמצעות אפליקציות של צד שלישי - משתמשת ב-Gmail משתמשת באפליקציה של צד שלישי (כמו Outlook או Thunderbird) כדי לגשת להודעות אימייל של Gmail, או מעבירה את האימיילים שלה ב-Gmail לספק אימייל אחר. | אפליקציה או שירות של צד שלישי עשויים להשתמש במידע מוטמע. עם זאת, הוא לא יוכל להפיק אסימוני אימות למוכ"ז שתואמים לאסימונים של Google, וכך השולחים יוכלו לדחות בקשות כאלה. השולחים יכולים לבחור אם הם דוחים או מקבלים פעולות ללא אסימונים למוכ"ז, בהתאם לרגישות הפעולה. שימו לב שאסימון ההרשאה למוכ"ז נוצר באמצעות טכנולוגיות סטנדרטיות של קוד פתוח, ומאפשרות לכל ספקי האימייל והאפליקציות להפיק את המפתחות האלה באמצעות מפתחות משלהם. |