En esta página, se documenta cómo Gmail protege la entrega y la ejecución de acciones.
Medidas de Seguridad impuestas por Google
Se deben cumplir las siguientes condiciones para los esquemas incorporados en el correo electrónico:
- Registro: El remitente debe Registrarse en Google.
- SPF o DKIM: Los correos electrónicos con lenguaje de marcado de esquema deben llegar desde dominios autenticados con SPF o DKIM.
Se requieren medidas adicionales para las acciones en línea
Se requieren o se recomiendan medidas de seguridad adicionales para proteger las acciones intercaladas:
- HTTPS: Todas las acciones deben realizarse mediante las URL HTTPS. Los hosts deben tener instalados certificados de servidor SSL válidos.
- Tokens de acceso: Se recomienda que los remitentes que usan acciones incorporen tokens de acceso de uso limitado en las URLs de las acciones para protegerse contra los ataques de repetición. Por lo general, esta es una práctica recomendada para cualquier URL incorporada en páginas web o correos electrónicos que pueda tener efectos secundarios cuando se la invoque.
- Autorización del portador: Se recomienda que los servicios que controlan las solicitudes de acción verifiquen el encabezado HTTP “Authorization” en la solicitud HTTPS. Ese encabezado contendrá una cadena "Bearer Token", lo que demuestra que la fuente de la solicitud es google.com y que la solicitud está destinada al servicio especificado. Los servicios deben usar la biblioteca de código abierto proporcionada por Google para verificar el token del portador.
Proteger patrones de acceso al correo electrónico de casos extremos
Existen diversas variantes de los patrones de reenvío y acceso de correo electrónico que Gmail administra para proteger las acciones en los correos electrónicos. Estas mediciones se realizan ADEMÁS de las anteriores:
| Patrón de acceso | Medidas de Seguridad Adicionales |
|---|---|
| Reenvío manual: El usuario abre un correo electrónico y lo reenvía a más destinatarios. | Este reenvío siempre interrumpe las firmas DKIM, y el remitente ya no está registrado en el servicio. Se rechazan las acciones en el correo electrónico. |
| Reenvío automático a Gmail: El usuario crea una regla de reenvío en la casilla de correo usuario@acme.com a su buzón de Gmail. | Gmail verifica que el usuario pueda enviar mensajes como user@acme.com (el usuario lo configura de forma manual). Se aceptan acciones en el correo electrónico. |
| Recuperación de POP de Gmail: El usuario otorga a Gmail la contraseña de usuario@acme.com y a los recuperados de Gmail todos los correos electrónicos que se envían allí por medio de POP a la carpeta Recibidos de Gmail. | Se conservan las firmas DKIM y la integridad del contenido. El usuario demostró acceso a user@acme.com. Se aceptan las acciones incluidas en el correo electrónico. |
| Acceso a correos electrónicos de Gmail con aplicaciones de terceros: El usuario de Gmail utiliza una aplicación de terceros (p.ej., Outlook o Thunderbird) para acceder a los correos electrónicos de Gmail o reenvía sus correos electrónicos de Gmail a otro proveedor de correo electrónico. | La aplicación o el servicio de terceros puede usar información incorporada. Sin embargo, no podrá producir tokens de autenticación del portador que coincidan con los de Google, lo que permitirá a los remitentes rechazar esas solicitudes de acción. Los remitentes pueden elegir si rechazan o aceptan acciones sin tokens del portador, según la sensibilidad de la acción. Ten en cuenta que el token de autorización del portador se crea utilizando tecnologías de código abierto estándar que permiten que todos los proveedores y apps de correo puedan producirlo usando sus propias claves. |