Para garantizar la seguridad y la privacidad de los usuarios, los correos electrónicos dinámicos están sujetos a requisitos y restricciones de seguridad adicionales.
Autenticación del remitente
Para garantizar que el remitente de un correo electrónico de AMP sea legítimo, los correos electrónicos que contienen AMP están sujetos a las siguientes verificaciones:
- El correo electrónico debe pasar la autenticación de correo identificado con claves de dominio (DKIM).
- El dominio de firma autenticado por DKIM debe estar alineado con el dominio del correo electrónico en el campo
From
. Consulta Alineación de DKIM a continuación. - El correo electrónico debe pasar la autenticación del Marco de políticas del remitente (SPF).
Además, se recomienda que los remitentes de correos electrónicos usen una política de autenticación de mensajes, informes y cumplimiento (DMARC) basado en el dominio
con la disposición establecida en quarantine
o reject
. Esto podría aplicarse de manera forzosa en el futuro.
DKIM, SPF y DMARC aparecen como líneas separadas dentro de la opción de menú “Mostrar original” en la versión web de Gmail. Consulta Cómo verificar si tu mensaje de Gmail está autenticado para obtener más información.
Alineación de DKIM
Para que la autenticación DKIM se considere “alineada”, el dominio de la organización de al menos un dominio de firma autenticado con DKIM debe ser el mismo que el dominio de la organización de la dirección de correo electrónico en el encabezado From
. Esto equivale a la alineación de identificadores DKIM flexible que se define en la especificación de DMARC, sección 3.1.1 de RFC7489.
El dominio de la organización se define en la sección 3.2 de la RFC7489 y también se conoce como la parte "eTLD+1" del dominio. Por ejemplo, el dominio foo.bar.example.com
tiene example.com
como su dominio de la organización.
El dominio de firma autenticado por DKIM hace referencia al valor de la etiqueta d=
de la firma DKIM.
Por ejemplo, si una firma DKIM validada se verifica correctamente con d=foo.example.com
, bar@foo.example.com
, foo@example.com
y foo@bar.example.com
se considerarán alineados si están presentes en el encabezado From
, mientras que user@gmail.com
no, ya que gmail.com
no coincide con example.com
.
Encriptación TLS
Para asegurarte de que el contenido de un correo electrónico de AMP se encripte durante el envío, debes encriptar TLS correos electrónicos que contengan AMP.
Un ícono en Gmail indica si un correo electrónico se envió con encriptación TLS. Consulta Cómo verificar si un mensaje que recibiste está encriptado para obtener más información.
Proxy HTTP
Todas las XMLHttpRequests (XHR) que se originan a partir de un correo electrónico de AMP se envían mediante proxy. Esto se hace para proteger la privacidad del usuario.
Encabezados de CORS
Todos los extremos del servidor que usan amp-list
y amp-form
deben implementar CORS en AMP para correos electrónicos y configurar correctamente el encabezado HTTP AMP-Email-Allow-Sender
.
Restricciones
A continuación, se describen restricciones adicionales de URL.
Redireccionamientos
Las URLs XHR no deben usar redireccionamiento HTTP. Las solicitudes que muestran un código de estado de la clase de redireccionamiento (rango 3XX
), como 302 Found
o 308 Permanent Redirect
, fallan, lo que genera un mensaje de advertencia de la consola del navegador.