Per garantire la sicurezza e la privacy degli utenti, le email dinamiche sono soggette a ulteriori requisiti e restrizioni di sicurezza.
Autenticazione del mittente
Per assicurare che il mittente di un'email AMP sia legittimo, le email contenenti AMP vengono soggetta ai seguenti controlli:
- L'email deve superare l'autenticazione DKIM (Domain Keys Identified Mail).
- Il dominio della firma autenticato con DKIM deve essere in linea con il dominio dell'email nel campo
From
. Consulta Allineamento DKIM di seguito. - L'email deve superare l'autenticazione SPF (Sender Policy Framework).
Inoltre, è consigliabile che i mittenti di email utilizzino un criterio DMARC (Domain-based Message Authentication, Reporting and Conformance)
con disposizione impostata su quarantine
o reject
. Questa opzione può essere applicata in
per il futuro.
DKIM, SPF e DMARC vengono visualizzati ciascuno come righe separate all'interno della sezione "Mostra originale" in Gmail Web. Consulta Verificare se i messaggi Gmail sono autenticati per ulteriori informazioni.
Allineamento DKIM
Affinché l'autenticazione DKIM sia considerata "allineata", il Dominio dell'organizzazione
di almeno un dominio di firma autenticato DKIM deve essere uguale al
Dominio dell'organizzazione dell'indirizzo email nell'intestazione From
. Equivale al
l'allineamento degli identificatori DKIM, come definito
nella specifica DMARC,
RFC7489 Sezione 3.1.1.
Il dominio dell'organizzazione è definito nella sezione 3.2 di RFC7489
ed è anche noto come "eTLD+1" parte del dominio. Ad esempio, il dominio foo.bar.example.com
ha example.com
come dominio dell'organizzazione.
Dominio di firma autenticato con autenticazione DKIM si riferisce al valore del tag d=
del
Firma DKIM.
Ad esempio, se una firma DKIM convalidata viene verificata con
d=foo.example.com
, poi bar@foo.example.com
, foo@example.com
e
Tutte le foo@bar.example.com
sarebbero considerate allineate se presenti in From
intestazione, mentre user@gmail.com
non lo farebbe, in quanto gmail.com
non corrisponde
example.com
.
Crittografia TLS
Per assicurarti che i contenuti di un'email AMP siano criptati in transito, devi Email con crittografia TLS che contengono AMP.
Un'icona in Gmail indica se un'email è stata inviata con la crittografia TLS. Consulta Verificare se un messaggio ricevuto è criptato per ulteriori informazioni.
Proxy HTTP
Tutte le XMLHttpRequests (XHR) che provengono da un'email AMP vengono inviate tramite proxy. Questo è per proteggere la privacy dell'utente.
Intestazioni CORS
Tutti gli endpoint server utilizzati da amp-list
e amp-form
devono implementare
CORS in AMP per email
e impostare correttamente l'intestazione HTTP AMP-Email-Allow-Sender
.
Restrizioni
Di seguito vengono descritte ulteriori limitazioni relative agli URL.
Reindirizzamenti
Gli URL XHR non devono utilizzare il reindirizzamento HTTP. Richieste che restituiscono un codice di stato da
la classe di reindirizzamento (intervallo 3XX
) come 302 Found
o 308 Permanent Redirect
non riesce, generando un messaggio di avviso della console del browser.