Para garantizar la seguridad y la privacidad de los usuarios, los correos electrónicos dinámicos están sujetos a requisitos y restricciones de seguridad adicionales.
Autenticación del remitente
Para garantizar que el remitente de un correo electrónico de AMP sea legítimo, los correos electrónicos que contienen AMP están sujetos a las siguientes verificaciones:
- El correo electrónico debe aprobar la autenticación de DomainKeys Identified Mail (DKIM).
- El dominio de firma autenticado por DKIM debe estar alineado con el dominio del correo electrónico en el campo
From
. Consulta Alineación de DKIM a continuación. - El correo electrónico debe aprobar la autenticación del marco de trabajo de directivas de remitente (SPF).
Además, se recomienda que los remitentes de correo electrónico usen una política de autenticación de mensajes, informes y cumplimiento basados en el dominio (DMARC) con la disposición establecida en quarantine
o reject
. Es posible que esto se aplique de manera forzosa en el futuro.
DKIM, SPF y DMARC aparecen como líneas separadas en la opción de menú “Mostrar original” en la versión web de Gmail. Consulta Cómo comprobar si tu mensaje de Gmail está autenticado para obtener más información.
Alineación de DKIM
Para que la autenticación de DKIM se considere "alineada", el dominio organizativo de al menos un dominio de firma autenticado por DKIM debe ser el mismo que el dominio organizativo de la dirección de correo electrónico en el encabezado From
. Esto equivale a la alineación de identificadores DKIM relajada, como se define en la especificación de DMARC, RFC7489, sección 3.1.1.
El dominio de la organización se define en la sección 3.2 de la RFC7489 y también se conoce como la parte "eTLD+1" del dominio. Por ejemplo, el dominio foo.bar.example.com
tiene example.com
como su Dominio de la organización.
Dominio de firma autenticado por DKIM hace referencia al valor de la etiqueta d=
de la firma DKIM.
Por ejemplo, si una firma DKIM validada se verifica correctamente con
d=foo.example.com
, bar@foo.example.com
, foo@example.com
y
foo@bar.example.com
se considerarían alineados si están presentes en el encabezado From
, mientras que user@gmail.com
no, ya que gmail.com
no coincide con
example.com
.
Encriptación TLS
Para asegurarte de que el contenido de un correo electrónico de AMP esté encriptado durante el tránsito, debes encriptar con TLS los correos electrónicos que contengan AMP.
Un ícono en Gmail indica si un correo electrónico se envió con encriptación TLS. Consulta Cómo verificar si un mensaje que recibiste está encriptado para obtener más información.
Proxy HTTP
Todas las XMLHttpRequests (XHR) que se originan en un correo electrónico de AMP se usan a través de un proxy. Esto se hace para proteger la privacidad del usuario.
Encabezados de CORS
Todos los extremos de servidor que usan amp-list
y amp-form
deben implementar
CORS en AMP para correo electrónico
y configurar correctamente el encabezado HTTP AMP-Email-Allow-Sender
.
Restricciones
A continuación, se describen las restricciones adicionales de las URLs.
Redireccionamientos
Las URLs de XHR no deben usar redireccionamientos HTTP. Las solicitudes que muestran un código de estado de la clase de redireccionamiento (rango 3XX
), como 302 Found
o 308 Permanent Redirect
, fallan, lo que genera un mensaje de advertencia en la consola del navegador.