本頁說明 Gmail 如何確保動作的傳送和執行作業。
Google 強制執行的安全措施
電子郵件中嵌入的結構定義必須符合下列條件:
- 註冊:寄件者必須向 Google 註冊。
- SPF 或 DKIM:含有結構定義標記的電子郵件必須來自 通過 SPF 或 DKIM 驗證的網域
內嵌操作需要其他評估項目
我們建議或要求採取額外安全措施,確保內嵌動作的安全性:
- HTTPS:所有動作「必須」透過 HTTPS 網址處理。網站代管商必須安裝有效的 SSL 伺服器憑證。
- 存取權杖:建議寄件者在動作網址中嵌入受限制的存取權杖,藉此防範重送攻擊。對於內嵌在網頁或電子郵件中的網址,叫用時可能產生任何副作用,通常這是不錯的做法。
- 不記名憑證授權:建議處理動作要求的服務驗證 HTTPS 要求中的 HTTP「Authorization」標頭。該標頭將包含「不記名權杖」字串,證明請求的來源為 google.com,且該項要求是專為指定服務而設計。服務應使用 Google 提供的開放原始碼程式庫來驗證不記名憑證。
保護極端情況的電子郵件存取模式
Gmail 會使用多種版本的電子郵件轉寄和存取模式,確保電子郵件中的動作安全無虞。請在上述評估項目中加入下列測量結果:
| 存取模式 | 其他安全措施 |
|---|---|
| 手動轉寄:使用者開啟電子郵件並轉寄給更多收件者 | 這類轉寄行為一律會破壞 DKIM 簽名,且寄件者不會再註冊這項服務。電子郵件中的動作會遭拒。 |
| 自動轉寄至 Gmail:使用者在信箱 user@acme.com 建立轉寄規則至她的 Gmail 信箱。 | Gmail 會驗證使用者是否可以以 user@acme.com 傳送郵件 (使用者必須手動設定)。電子郵件中的動作已接受。 |
| Gmail POP 擷取:使用者將 user@acme.com 的密碼提供給 Gmail,Gmail 會透過 POP 擷取該帳戶中的所有電子郵件,並將這些郵件擷取到 Gmail 收件匣。 | 並保留 DKIM 簽名和內容完整性。使用者已證明自己有權存取 user@acme.com。電子郵件中的動作已接受。 |
| 使用第三方應用程式存取 Gmail 電子郵件:Gmail 使用者使用第三方應用程式 (例如 Outlook 或 Thunderbird) 存取 Gmail 電子郵件,或將 Gmail 電子郵件轉寄給其他電子郵件服務供應商。 | 第三方應用程式或服務可能會使用嵌入式資訊。不過,它無法產生與 Google 相符的權杖驗證權杖,因此寄件者可以拒絕這類動作要求。傳送者可以根據動作的敏感度,選擇拒絕或接受不含權杖權杖的動作。請注意,憑證授權權杖是使用標準開放原始碼技術建立,因此所有郵件供應商和應用程式都可以使用自己的金鑰產生權杖。 |