了解 Outlook 中可操作邮件的安全性要求
Microsoft 365 对 Outlook 发件人中的可操作邮件提出了安全要求,以防止未经授权的发件人利用用户。 Microsoft 365 还为你的服务提供了验证对操作端点的调用是否有效的方法。
发件人要求
除了上一个单元中讨论的注册要求,包含可操作邮件的电子邮件还必须满足以下要求中的 一 要求。
- 电子邮件必须源自同时实施 DomainKeys 识别邮件 (DKIM) 和发件人策略框架 (SPF) 的服务器。 二者是在通过 SMTP 发送电子邮件时证明发件人身份的行业标准方法。 很多公司已实施这些标准,用于保护已发送电子邮件的安全。
- 可操作邮件 JSON 必须使用 JSON Web 签名 (JWS) 标准进行签名,使用与可操作邮件注册中包含的公钥相对应的私钥。
保护你的服务
Microsoft 365 向你的服务发送的所有 HTTP POST 请求在 Authorization 标头中包括一个承载令牌。 这个令牌是由 Microsoft 签署的 JSON Web 令牌 (JWT),它包括重要的声明,即应该由处理相关请求的服务进行验证。 通过验证此令牌,可以知道请求有效且来自 Microsoft。 令牌还包含发起操作的收件人的Microsoft Entra标识。
你的服务也可能要求对操作端点进行身份验证。 可以使用 HTTP 401 状态和一个指定登录 URL 的 ACTION-AUTHENTICATE 标头来响应端点的 POST。 Outlook 客户端将使用该 URL 允许用户登录到你的系统,并且你的服务可以将用户的Microsoft Entra标识与你的系统相关联。