כדי לשמור על הבטיחות והפרטיות של המשתמשים, אימיילים דינמיים כפופים לדרישות אבטחה נוספות ולהגבלות נוספות.
אימות השולח
כדי לוודא שהשולח של הודעת אימייל מסוג AMP הוא לגיטימי, אימיילים שמכילים AMP כפופים לבדיקות הבאות:
- האימייל חייב לעבור אימות של מפתחות דומיין Identified Mail (DKIM).
- הדומיין החתימה שאומת באמצעות DKIM חייב להיות תואם לדומיין של האימייל בשדה
From
. פרטים נוספים מופיעים בקטע התאמה ל-DKIM בהמשך. - האימייל חייב לעבור את הבדיקות של אימות מסגרת של מדיניות השולח (SPF).
בנוסף, מומלץ לשולחי אימייל להשתמש במדיניות מבוססת-דומיין לאימות, דיווח והתאמה של הודעות (DMARC), עם הגדרת המערך ל-quarantine
או ל-reject
. ייתכן שבעתיד נאכוף את הדרישה הזו.
DKIM, SPF ו-DMARC מופיעים כשורות נפרדות באפשרות התפריט 'הצגת המקור' באפליקציית Gmail באינטרנט. מידע נוסף זמין במאמר איך בודקים אם הודעת Gmail מאומתת.
יישור DKIM
כדי שאימות DKIM ייחשב 'מותאם', הדומיין הארגוני של דומיין חותם אחד לפחות שאומת באמצעות DKIM צריך להיות זהה לדומיין הארגוני של כתובת האימייל שמופיעה בכותרת From
. הפעולה הזו מקבילה לשיוך בעל מזהה DKIM המקושר כפי שמוגדר במפרט DMARC,
RFC7489 בסעיף 3.1.1.
דומיין ארגוני מוגדר ב-RFC7489 סעיף 3.2 ונקרא גם החלק eTLD+1 של הדומיין. לדוגמה, הדומיין foo.bar.example.com
כולל את example.com
בתור הדומיין הארגוני שלו.
דומיין חתימה באימות DKIM מתייחס לערך של התג d=
בחתימה של DKIM.
לדוגמה, אם חתימת DKIM אומתה בהצלחה באמצעות d=foo.example.com
, אז הערכים bar@foo.example.com
, foo@example.com
ו-foo@bar.example.com
ייחשבו תואמים אם הם נמצאים בכותרת From
, ואילו user@gmail.com
לא, כי הערך של gmail.com
לא תואם ל-example.com
.
הצפנת TLS
כדי לוודא שהתוכן של הודעת אימייל ב-AMP יוצפן בזמן ההעברה, צריך לבצע הצפנת TLS של הודעות אימייל שמכילות AMP.
סמל ב-Gmail מציין אם הודעת אימייל נשלחה עם הצפנת TLS. מידע נוסף זמין במאמר איך בודקים אם ההודעה שקיבלתם מוצפנת.
HTTP proxy
כל קובצי XMLHttpRequests (XHRs) שמקורם באימייל AMP עוברים דרך שרת proxy. אנחנו עושים זאת כדי להגן על פרטיות המשתמש.
כותרות CORS
כל נקודות הקצה של השרת שמשמשות את amp-list
ו-amp-form
צריכות להטמיע את CORS ב-AMP לאימייל ולהגדיר בצורה נכונה את כותרת ה-HTTP AMP-Email-Allow-Sender
.
הגבלות
בהמשך מתוארות הגבלות נוספות על כתובות URL.
כתובות אתרים להפניה מחדש
אסור להשתמש בהפניה אוטומטית מסוג HTTP בכתובות URL מסוג XHR. בקשות שמחזירות קוד סטטוס מהסיווג של ההפניה האוטומטית (בטווח 3XX
), כמו 302 Found
או 308 Permanent Redirect
, נכשלות, ומוצגת הודעת אזהרה במסוף הדפדפן.