בדף הזה מוסבר איך Gmail מאבטח את השליחה והביצוע של פעולות.
אמצעי אבטחה שחלה עליהם אכיפה על ידי Google
התנאים הבאים חייבים להתקיים לגבי סכימות שמוטמעות באימייל:
- רישום: השולח צריך להירשם ב-Google.
- SPF או DKIM: הודעות אימייל עם רכיבי Markup של סכימות צריכות להגיע מדומיינים מאומתים באמצעות SPF או DKIM
אמצעי נוספים הנדרשים לפעולות בתוך הטקסט
כדי לאבטח פעולות בקוד, נדרשים או מומלצים אמצעי אבטחה נוספים:
- HTTPS: חובה לטפל בכל הפעולות באמצעות כתובות URL מסוג HTTPS. במארחים צריכים להיות מותקנים אישורי שרת SSL תקינים.
- אסימוני גישה: מומלץ לשולחים שמשתמשים בפעולות להטמיע אסימוני גישה לשימוש מוגבל בכתובות ה-URL של הפעולות, כדי להגן על עצמם מפני התקפות שחזור. זוהי שיטה מומלצת באופן כללי לכל כתובת URL שמוטמעת בדפי אינטרנט או באימיילים, ועשויות להיות לה תופעות לוואי כשמפעילים אותה.
- הרשאה למוכ"ז: מומלץ ששירותים שמטפלים בבקשות לביצוע פעולות יאמתו את הכותרת 'Authorization' ב-HTTP בבקשת ה-HTTPS. הכותרת הזו תכיל מחרוזת 'אסימון למוכ"ז', שתוכיח שהמקור של הבקשה הוא google.com ושהבקשה מיועדת לשירות שצוין. שירותים צריכים להשתמש בספריית הקוד הפתוח ש-Google מספקת כדי לאמת את אסימון הנושא.
אבטחה של דפוסי גישה לאימייל במקרי קצה
יש כמה וריאציות של העברת אימיילים ודפוסי גישה שמערכת Gmail מטפלת בהן כדי לאבטח פעולות באימיילים. המדידות הבאות מתבצעות בנוסף למדידות שלמעלה:
| דפוס גישה | אמצעי אבטחה נוספים |
|---|---|
| העברה ידנית – המשתמש פותח אימייל ומעביר אותו לנמענים נוספים | העברה כזו תמיד מפריעה לחתימות DKIM, והשולח כבר לא רשום בשירות. הפעולות באימייל נדחות. |
| העברה אוטומטית ל-Gmail – המשתמש יוצר כלל העברה בתיבת הדואר user@acme.com לתיבת הדואר שלו ב-Gmail. | Gmail מאמת שהמשתמש יכול לשלוח אימייל כ-user@acme.com (המשתמש מגדיר זאת באופן ידני). הפעולות באימייל אושרו. |
| אחזור POP ב-Gmail – המשתמש נותן ל-Gmail את הסיסמה לכתובת user@acme.com, ו-Gmail מאחזר את כל האימיילים דרך POP לתיבת הדואר הנכנס ב-Gmail. | חתימות DKIM ושלמות התוכן נשמרים. המשתמש הוכיח שיש לו גישה לכתובת user@acme.com. הפעולות באימייל אושרו. |
| גישה להודעות אימייל ב-Gmail באמצעות אפליקציות צד שלישי – משתמש ב-Gmail משתמש באפליקציה של צד שלישי (למשל Outlook או Thunderbird) כדי לגשת להודעות אימייל ב-Gmail, או מעביר את הודעות האימייל ב-Gmail לספק אימייל אחר. | אפליקציה או שירות של צד שלישי עשויים להשתמש במידע מוטמע. עם זאת, לא תהיה לו אפשרות ליצור אסימוני אימות למוכ"ז שתואמים לאלה של Google, כך ששולחים יוכלו לדחות בקשות כאלה לביצוע פעולות. השולחים יכולים לבחור אם לדחות או לאשר פעולות ללא אסימוני בעלות, בהתאם לרמת הרגישות של הפעולה. חשוב לזכור שאסימון ההרשאה למוכ"ז נוצר באמצעות טכנולוגיות סטנדרטיות בקוד פתוח, שמאפשרות לכל ספקי האימייל והאפליקציות ליצור אותם באמצעות המפתחות שלהם. |