หน้านี้บันทึกวิธีที่ Gmail รักษาความปลอดภัยในการนำส่งและการดำเนินการต่างๆ
มาตรการความปลอดภัยที่บังคับใช้โดย Google
เงื่อนไขต่อไปนี้ต้องระงับไว้สำหรับสคีมาที่ฝังอยู่ในอีเมล
- การลงทะเบียน: ผู้ส่งต้องลงทะเบียนกับ Google
- SPF หรือ DKIM: อีเมลที่มีมาร์กอัปสคีมาต้องมาจากโดเมนที่มีการตรวจสอบสิทธิ์ SPF หรือ DKIM
มาตรการเพิ่มเติมที่จำเป็นสำหรับการดำเนินการในบรรทัด
ต้องมีมาตรการรักษาความปลอดภัยเพิ่มเติมหรือแนะนำให้ทำดังต่อไปนี้เพื่อรักษาความปลอดภัยให้กับการดำเนินการในหน้า
- HTTPS: การดำเนินการทั้งหมดต้องจัดการผ่าน HTTPS URL โฮสต์ต้องติดตั้งใบรับรองเซิร์ฟเวอร์ SSL ที่ถูกต้อง
- โทเค็นเพื่อการเข้าถึง: ขอแนะนำให้ผู้ส่งที่ใช้การดำเนินการฝังโทเค็นเพื่อการเข้าถึงแบบจำกัดใน URL การดำเนินการ เพื่อป้องกันตัวเองจากการโจมตีซ้ำ ซึ่งเป็นแนวทางปฏิบัติที่ดีสำหรับ URL ที่ฝังอยู่ในหน้าเว็บหรืออีเมลที่อาจมีผลข้างเคียงเมื่อเรียกใช้
- การให้สิทธิ์สำหรับผู้ถือ: ขอแนะนำให้บริการที่จัดการคำขอการดำเนินการยืนยันส่วนหัว "การให้สิทธิ์" ของ Http ในคำขอ HTTPS ส่วนหัวดังกล่าวจะมีสตริง "โทเค็นสำหรับผู้ถือ" ซึ่งพิสูจน์ว่าแหล่งที่มาของคำขอคือ google.com และคำขอนั้นมีไว้สำหรับบริการที่ระบุ บริการต่างๆ ควรใช้ไลบรารีโอเพนซอร์สที่ Google มีให้เพื่อยืนยันโทเค็นของผู้ถือ
การรักษาความปลอดภัยของรูปแบบการเข้าถึงอีเมลแบบ Edge Case
รูปแบบการส่งต่อและการเข้าถึงอีเมลมีอยู่หลายรูปแบบที่ Gmail จัดการเพื่อรักษาความปลอดภัยให้กับการดำเนินการในอีเมล การวัดต่อไปนี้ดำเนินการเพิ่มเติมสำหรับการวัดข้างต้น
| รูปแบบการเข้าถึง | มาตรการรักษาความปลอดภัยเพิ่มเติม |
|---|---|
| การส่งต่อด้วยตนเอง - ผู้ใช้เปิดอีเมลและส่งต่อไปยังผู้รับรายอื่น | การส่งต่อดังกล่าวจะทำให้ลายเซ็น DKIM เสียหายเสมอ และผู้ส่งไม่ได้ลงทะเบียนกับบริการอีกต่อไป การดำเนินการในอีเมลจะถูกปฏิเสธ |
| การส่งต่ออัตโนมัติไปยัง Gmail - ผู้ใช้จะสร้างกฎการส่งต่อในกล่องจดหมาย user@acme.com ไปยังกล่องจดหมาย Gmail ของตนเอง | Gmail จะยืนยันว่าผู้ใช้สามารถส่งในชื่อ user@acme.com (ผู้ใช้ตั้งค่าด้วยตนเอง) การดำเนินการในอีเมลเป็นที่ยอมรับ |
| การดึงข้อมูล POP ของ Gmail - ผู้ใช้ให้รหัสผ่าน Gmail สำหรับ user@acme.com และเครื่องมือดึงข้อมูล Gmail ทั้งหมดที่ส่งจากระบบ POP ไปยังกล่องจดหมายของ Gmail | ลายเซ็น DKIM และความสมบูรณ์ของเนื้อหาจะยังคงอยู่ ผู้ใช้ได้รับการพิสูจน์แล้วในการเข้าถึง user@acme.com การดำเนินการในอีเมลได้รับการยอมรับ |
| การเข้าถึงอีเมลของ Gmail ด้วยแอปพลิเคชันของบุคคลที่สาม - ผู้ใช้ Gmail ใช้แอปพลิเคชันของบุคคลที่สาม (เช่น Outlook หรือ Thunderbird) เพื่อเข้าถึงอีเมลของ Gmail หรือส่งต่ออีเมล Gmail ไปยังผู้ให้บริการอีเมลรายอื่น | แอปพลิเคชันหรือบริการของบุคคลที่สามอาจใช้ข้อมูลที่ฝังอยู่ อย่างไรก็ตาม โมเดลจะไม่สามารถสร้างโทเค็นการตรวจสอบสิทธิ์สำหรับผู้ถือที่ตรงกับข้อมูลของ Google ได้ ซึ่งทำให้ผู้ส่งมีโอกาสปฏิเสธคำขอดำเนินการดังกล่าว ผู้ส่งอาจเลือกได้ว่าจะปฏิเสธหรือยอมรับการดำเนินการที่ไม่มีโทเค็นสำหรับผู้ถือ ทั้งนี้ขึ้นอยู่กับความละเอียดอ่อนของการดำเนินการ โปรดทราบว่าโทเค็นการให้สิทธิ์สำหรับผู้ถือจะสร้างขึ้นโดยใช้เทคโนโลยีโอเพนซอร์สมาตรฐานที่ทำให้ผู้ให้บริการอีเมลและแอปทั้งหมดสามารถสร้างโทเค็นดังกล่าวโดยใช้คีย์ของตนเอง |