בדף הזה מתואר איך Gmail מאבטח את המסירה והביצוע של פעולות.
אמצעי אבטחה ש-Google אוכפת
התנאים הבאים חייבים להתקיים עבור סכימות שמוטמעות באימייל:
- הרשמה: השולח חייב להירשם באמצעות Google.
- SPF או DKIM: הודעות אימייל עם תגי עיצוב של סכימה חייבות להגיע מדומיינים שאומתו באמצעות SPF או DKIM.
אמצעים נוספים הנדרשים לפעולות בתוך השורה
אנחנו נדרשים או מעודדים אמצעי אבטחה נוספים כדי לאבטח פעולות בתוך השורה:
- HTTPS: חובה לטפל בכל הפעולות באמצעות כתובות URL מסוג HTTPS. במארחים צריכים להיות מותקנים אישורים חוקיים של שרת SSL.
- אסימוני גישה: מומלץ לשולחים שמשתמשים בפעולות להטמיע אסימוני גישה לשימוש מוגבל בכתובות ה-URL של הפעולות, כדי להגן על עצמם מפני התקפות הפעלה מחדש. בדרך כלל, זוהי שיטה מומלצת לכל כתובת URL שמוטמעת בדפי אינטרנט או בהודעות אימייל, שעלולות להיות לה תופעות לוואי אם מפעילים אותן.
- הרשאה למוכ"ז: מומלץ ששירותים המטפלים בבקשות פעולה מאמתים את Http 'Authorization' בבקשת ה-HTTPS. הכותרת הזו תכיל "אסימון למוכ"ז" מחרוזת, שמוכיחה שמקור הבקשה הוא google.com, ושהבקשה מיועדת לשירות שצוין. השירותים צריכים להשתמש בספריית הקוד הפתוח ש-Google מספקת כדי לאמת את אסימון הנושא.
אבטחת דפוסי גישה לאימייל במקרי קצה
יש גרסאות שונות של העברת אימייל ושל דפוסי גישה שבהם Gmail מטפל כדי לבצע פעולות מאובטחות באימייל. מדידות אלה מתבצעות IN ADDITION למדדים שלמעלה:
| דפוס גישה | אמצעי אבטחה נוספים |
|---|---|
| העברה ידנית – המשתמש פותח הודעת אימייל ומעביר אותה לנמענים נוספים. | העברה כזו תמיד מפסיקה חתימות DKIM, והשולח לא רשום יותר בשירות. פעולות באימייל נדחות. |
| העברה אוטומטית ל-Gmail – המשתמש יוצרת כלל העברה בתיבת הדואר הנכנס user@acme.com אל תיבת הדואר שלה ב-Gmail. | Gmail מאמת שהמשתמש יכול לשלוח את הכתובת בתור user@acme.com (המשתמש מגדיר את הכתובת הזו באופן ידני). פעולות באימייל מותרות. |
| אחזור POP של Gmail – המשתמש נותן ל-Gmail את הסיסמה של user@acme.com ו-Gmail מאחזר את כל הודעות האימייל האלה דרך POP לתיבת הדואר הנכנס של Gmail. | חתימות DKIM ותקינות התוכן נשמרים. למשתמש יש גישה מוכחת ל-user@acme.com. פעולות באימייל מותרות. |
| גישה לאימיילים של Gmail באמצעות אפליקציות של צד שלישי - משתמשת ב-Gmail משתמשת באפליקציה של צד שלישי (כמו Outlook או Thunderbird) כדי לגשת להודעות אימייל של Gmail, או מעבירה את האימיילים שלה ב-Gmail לספק אימייל אחר. | אפליקציה או שירות של צד שלישי עשויים להשתמש במידע מוטמע. עם זאת, הוא לא יוכל להפיק אסימוני אימות למוכ"ז שתואמים לאסימונים של Google, וכך השולחים יוכלו לדחות בקשות כאלה. השולחים יכולים לבחור אם הם דוחים או מקבלים פעולות ללא אסימונים למוכ"ז, בהתאם לרגישות הפעולה. שימו לב שאסימון ההרשאה למוכ"ז נוצר באמצעות טכנולוגיות סטנדרטיות של קוד פתוח, ומאפשרות לכל ספקי האימייל והאפליקציות להפיק את המפתחות האלה באמצעות מפתחות משלהם. |