이 페이지에서는 Gmail이 작업의 전송 및 실행을 보호하는 방법을 설명합니다.
Google에서 시행하는 보안 조치
이메일에 삽입된 스키마의 경우 다음 조건이 충족되어야 합니다.
- 등록: 발신자가 Google에 등록해야 합니다.
- SPF 또는 DKIM: 스키마 마크업이 포함된 이메일은 SPF 또는 DKIM 인증 도메인에서 반드시 수신되어야 합니다.
인라인 작업에 필요한 추가 조치
인라인 작업을 보호하기 위해서는 추가 보안 조치가 필요하거나 권장됩니다.
- HTTPS: 모든 작업은 HTTPS URL을 통해 처리되어야 함. 호스트에 유효한 SSL 서버 인증서가 설치되어 있어야 합니다.
- 액세스 토큰: 작업을 사용하는 발신자는 재전송 공격으로부터 자신을 보호하기 위해 작업 URL에 제한된 사용 액세스 토큰을 삽입하는 것이 권장됩니다. 호출 시 부작용이 있을 수 있는 웹페이지 또는 이메일에 삽입된 URL에는 일반적으로 이 방법을 사용하는 것이 좋습니다.
- Bearer 승인: 작업 요청을 처리하는 서비스는 HTTPS 요청에서 HTTP 'Authorization' 헤더를 확인하는 것이 권장됩니다. 이 헤더에는 요청 소스가 google.com이고 요청이 지정된 서비스용임을 증명하는 'Bearer Token' 문자열이 포함됩니다. 서비스는 Google에서 제공하는 오픈소스 라이브러리를 사용하여 Bearer 토큰을 인증해야 합니다.
특이한 이메일 액세스 패턴 보호
Gmail은 이메일에서 작업을 보호하기 위해 다양한 이메일 전달 및 액세스 패턴을 처리합니다. 다음 측정값은 위의 측정값에 추가로 실행됩니다.
| 액세스 패턴 | 추가 보안 조치 |
|---|---|
| 수동 전달 - 사용자가 이메일을 열고 더 많은 수신자에게 전달합니다. | 이러한 전달은 항상 DKIM 서명을 손상시키며 발신자가 더 이상 서비스에 등록되지 않습니다. 이메일의 작업이 거부됩니다. |
| Gmail로 자동 전달 - 사용자가 user@acme.com 편지함에서 Gmail 편지함으로 전달 규칙을 만듭니다. | Gmail은 사용자가 user@acme.com으로 보낼 수 있는지 확인합니다 (사용자가 직접 설정). 이메일의 작업이 수락되었습니다. |
| Gmail POP 가져오기 - 사용자가 Gmail에 user@acme.com의 비밀번호를 제공하면 Gmail에서 POP를 통해 Gmail 받은편지함으로 모든 이메일을 가져옵니다. | DKIM 서명 및 콘텐츠 무결성이 유지됩니다. 사용자가 user@acme.com에 대한 액세스 권한을 입증했습니다. 이메일의 작업이 수락되었습니다. |
| 서드 파티 애플리케이션으로 Gmail 이메일에 액세스 - Gmail 사용자가 서드 파티 애플리케이션 (예: Outlook 또는 Thunderbird)을 사용하여 Gmail 이메일에 액세스하거나 Gmail 이메일을 다른 이메일 제공업체로 전달합니다. | 서드 파티 애플리케이션 또는 서비스에서 삽입된 정보를 사용할 수 있습니다. 하지만 Google의 토큰과 일치하는 보유자 인증 토큰을 생성할 수 없으므로 발신자는 이러한 작업 요청을 거부할 수 있습니다. 발신자는 작업의 민감도에 따라 운전자 토큰이 없는 작업을 거부하거나 수락할지 선택할 수 있습니다. 보유자 인증 토큰은 표준 오픈소스 기술을 사용하여 생성되므로 모든 메일 제공업체와 앱에서 자체 키를 사용하여 토큰을 생성할 수 있습니다. |