本頁說明 Gmail 如何保護服務的傳送與執行方式。
Google 強制執行的安全措施
必須符合下列條件,才能使用內嵌於電子郵件中的結構定義:
- 註冊:寄件者必須向 Google 註冊。
- SPF 或 DKIM:含有結構定義標記的電子郵件「必須」來自 SPF 或 DKIM 驗證的網域
內嵌操作需要其他評估項目
需要或鼓勵使用者採取額外的安全措施,確保內嵌動作安全無虞:
- HTTPS:所有動作都必須透過 HTTPS 網址處理,主機必須安裝有效的 SSL 伺服器憑證。
- 存取權杖:建議寄件者在動作網址中嵌入受限制的存取權杖,藉此防範重送攻擊。對於內嵌在網頁或電子郵件中的網址,叫用時可能產生任何副作用,通常這是不錯的做法。
- Bearer Authorization:建議處理動作要求的服務會驗證 HTTPS 要求中的 HTTP 「Authorization」標頭。該標頭會包含「不記名權杖」字串,證明請求的來源為 google.com,且該項要求是針對指定的服務執行。服務應使用 Google 提供的開放原始碼程式庫驗證不記名權杖。
保護邊緣案件電子郵件存取模式
Gmail 會使用多種版本的電子郵件轉寄和存取模式,確保電子郵件中的動作安全無虞。請在上述評估項目中加入下列測量指標:
| 存取模式 | 其他安全措施 |
|---|---|
| 手動轉寄:使用者開啟電子郵件並轉寄給更多收件者 | 這類轉寄作業一律會中斷 DKIM 簽名,且寄件者已不再註冊該服務。已拒絕電子郵件中的動作。 |
| 自動轉寄至 Gmail:使用者在信箱 user@acme.com 建立轉寄規則至她的 Gmail 信箱。 | Gmail 會驗證使用者是否能以 user@acme.com 傳送 (由使用者手動設定)。接受電子郵件中的動作。 |
| Gmail POP 擷取:使用者將 <使用者>@acme.com 和 Gmail 擷取程式的所有電子郵件傳送至 Gmail 收件匣。 | 並保留 DKIM 簽名和內容完整性。使用者已證明自己能存取 user@acme.com。接受電子郵件中的動作。 |
| 透過第三方應用程式存取 Gmail 電子郵件:Gmail 使用者是透過第三方應用程式 (例如 Outlook 或 Thunderbird) 存取 Gmail 電子郵件,或是將 Gmail 電子郵件轉寄給其他電子郵件服務供應商。 | 第三方應用程式或服務可能會使用嵌入資訊。不過,這項工具無法產生與 Google 相符的不記名驗證權杖,讓寄件者有機會拒絕這類動作要求。寄件者可根據動作的敏感度,選擇拒絕或接受沒有不記名權杖的動作。請注意,不記名授權權杖是使用標準開放原始碼技術建立,因此所有郵件供應商和應用程式都可以使用自己的金鑰產生這些憑證。 |