为确保用户安全和隐私,动态电子邮件须遵守额外的安全要求和限制。
发件人身份验证
为确保 AMP 电子邮件的发件人合法,我们会对包含 AMP 的电子邮件进行以下检查:
- 电子邮件必须通过 Domain Keys Identified Mail (DKIM) 身份验证。
- 经过 DKIM 身份验证的签名域名必须与
From字段中的电子邮件域名一致。请参阅下文中的 DKIM 匹配。 - 电子邮件必须通过发件人政策框架 (SPF) 身份验证。
此外,我们建议电子邮件发件人使用基于网域的邮件身份验证、报告和一致性 (DMARC) 政策,并将处理方式设置为 quarantine 或 reject。我们未来可能会强制执行此要求。
DKIM、SPF 和 DMARC 会分别显示在 Gmail 网页版的“显示原始邮件”菜单选项中。如需了解详情,请参阅检查 Gmail 邮件是否通过身份验证。
DKIM 匹配
为了让 DKIM 身份验证被视为“一致”,至少一个通过 DKIM 身份验证的签名网域的组织域名必须与 From 标头中的电子邮件地址的组织域名相同。这相当于 DMARC 规范 RFC7489 第 3.1.1 节中定义的宽松 DKIM 标识符对齐。
组织网域在 RFC7489 第 3.2 节中进行了定义,也称为网域的“eTLD+1”部分。例如,网域 foo.bar.example.com 的组织网域为 example.com。
通过 DKIM 身份验证的签名网域是指 DKIM 签名的 d= 标记的值。
例如,如果经过验证的 DKIM 签名成功通过 d=foo.example.com 验证,则如果 bar@foo.example.com、foo@example.com 和 foo@bar.example.com 出现在 From 标头中,则都将被视为一致,而 user@gmail.com 则不会,因为 gmail.com 与 example.com 不匹配。
TLS 加密
为确保 AMP 电子邮件的内容在传输过程中进行加密,您必须对包含 AMP 的电子邮件使用 TLS 加密。
Gmail 中有一个图标,用于指示电子邮件是使用 TLS 加密发送的还是未加密。如需了解详情,请参阅检查您接收的邮件是否经过加密。
HTTP 代理
系统会对源自 AMP 电子邮件的所有 XMLHttpRequest (XHR) 进行代理。这是为了保护用户的隐私。
CORS 标头
amp-list 和 amp-form 使用的所有服务器端点都必须实现 AMP for Email 中的 CORS,并正确设置 AMP-Email-Allow-Sender HTTP 标头。
限制
以下是其他网址限制。
重定向
XHR 网址不得使用 HTTP 重定向。返回重定向类(3XX 范围)状态代码(例如 302 Found 或 308 Permanent Redirect)的请求会失败,导致浏览器控制台显示警告消息。