Если вы хотите сохранить их в приложении, лучше всего их запутать. Шифрование - один из способов сделать это, но он остановит только случайного «хакера». Если у вас есть зашифрованные строки в качестве ресурсов (или полей классов), для их расшифровки вам понадобится ключ, который будет в приложении. Если кто-то декомпилирует ваше приложение, найти ключ тоже будет довольно просто. Вы можете сделать это немного сложнее, динамически генерируя ключ из разных мест в вашем коде, но, как упоминалось выше, злоумышленник может просто найти место, где используются секреты, и сбросить уже расшифрованные строки. Там действительно нет простого выхода из этого.
Вы можете создать простой веб-сервис, требующий аутентификации, используя учетную запись Google (которую почти каждый пользователь Android имеет на своем устройстве) и отправлять ей письма от имени пользователя (если это соответствует вашим требованиям). Таким образом, вы, по крайней мере, будете знать, кто отправляет письма, и заблокировать их, если они попытаются использовать его для рассылки спама, перебора квот и т. Д. Конечно, они могут довольно легко получить новую учетную запись Google, но если ваша служба целенаправленно нацеленные у вас будут большие проблемы, что это. Другим недостатком является то, что вашему приложению потребуются разрешения для доступа к учетным записям на устройстве, что некоторые пользователи могут рассматривать как проблему конфиденциальности.