Um die Sicherheit und den Datenschutz für Nutzer zu gewährleisten, unterliegen dynamische E-Mails zusätzlichen Sicherheitsanforderungen und -beschränkungen.
Absender-Authentifizierung
Um sicherzustellen, dass der Absender einer AMP-E-Mail legitim ist, werden E-Mails mit AMP folgenden Prüfungen unterzogen:
- Die E-Mail muss die DKIM-Authentifizierung (Domain Keys Identified Mail) bestehen.
- Die Signaturdomain mit DKIM-Authentifizierung muss mit der Domain der E-Mail-Adresse im Feld
From
übereinstimmen. Weitere Informationen finden Sie unten im Abschnitt DKIM-Abgleich. - Die E-Mail muss die SPF-Authentifizierung (Sender Policy Framework) bestehen.
Darüber hinaus wird empfohlen, dass E-Mail-Absender eine DMARC-Richtlinie (Domain-based Message Authentication, Reporting and Conformance) mit der Disposition quarantine
oder reject
verwenden. Dies kann in Zukunft erzwungen werden.
DKIM, SPF und DMARC werden jeweils als separate Zeilen in der Menüoption „Show Original“ (Original anzeigen) in der Webversion von Gmail angezeigt. Weitere Informationen finden Sie unter Prüfen, ob Ihre Gmail-Nachricht authentifiziert ist.
DKIM-Abgleich
Damit die DKIM-Authentifizierung als „angepasst“ betrachtet wird, muss die Organisationsdomain von mindestens einer DKIM-authentifizierten Signaturdomain mit der Organisationsdomain der E-Mail-Adresse im Header From
übereinstimmen. Dies entspricht der gelockerten DKIM-Kennungsausrichtung gemäß der DMARC-Spezifikation RFC7489, Abschnitt 3.1.1.
Die Organisationsdomain ist in RFC 7489, Abschnitt 3.2 definiert und auch als „eTLD+1“-Teil der Domain bezeichnet. Beispiel: Die Domain foo.bar.example.com
hat example.com
als Organisationsdomain.
DKIM-authentifizierte Signaturdomain bezieht sich auf den Wert des Tags d=
der DKIM-Signatur.
Wenn beispielsweise eine validierte DKIM-Signatur erfolgreich mit d=foo.example.com
verifiziert wird, werden bar@foo.example.com
, foo@example.com
und foo@bar.example.com
als ausgerichtet angesehen, wenn sie im From
-Header vorhanden sind, während user@gmail.com
dies nicht tun würde, da gmail.com
nicht mit example.com
übereinstimmt.
TLS-Verschlüsselung
Damit der Inhalt einer AMP-E-Mail bei der Übertragung verschlüsselt wird, musst du E-Mails mit AMP mit TLS verschlüsseln.
Ein Symbol in Gmail gibt an, ob eine E-Mail mit TLS-Verschlüsselung gesendet wurde. Weitere Informationen finden Sie unter Überprüfen, ob eine empfangene Nachricht verschlüsselt ist.
HTTP-Proxy
Alle XMLHttpRequests (XHRs), die von einer AMP-E-Mail stammen, werden über einen Proxy weitergeleitet. Dies dient dem Schutz der Privatsphäre der Nutzer.
CORS-Header
Alle Serverendpunkte, die von amp-list
und amp-form
verwendet werden, müssen CORS in AMP für E-Mails implementieren und den HTTP-Header AMP-Email-Allow-Sender
korrekt festlegen.
Einschränkungen
Im Folgenden werden zusätzliche URL-Einschränkungen beschrieben.
Weiterleitungen
XHR-URLs dürfen keine HTTP-Weiterleitung verwenden. Anfragen, die einen Statuscode aus der Weiterleitungsklasse (Bereich 3XX
) wie 302 Found
oder 308 Permanent Redirect
zurückgeben, schlagen fehl, was zu einer Warnmeldung in der Browserkonsole führt.