安全要求

为确保用户安全和隐私，动态电子邮件须遵守额外的安全要求和限制。

发件人身份验证

为确保 AMP 电子邮件的发件人合法，我们会对包含 AMP 的电子邮件进行以下检查：

• 电子邮件必须通过 Domain Keys Identified Mail (DKIM) 身份验证。
• 经过 DKIM 身份验证的签名域名必须与 From 字段中的电子邮件域名一致。请参阅下文中的 DKIM 匹配。
• 电子邮件必须通过发件人政策框架 (SPF) 身份验证。

此外，我们建议电子邮件发件人使用基于网域的邮件身份验证、报告和一致性 (DMARC) 政策，并将处理方式设置为 quarantine 或 reject。我们可能会在未来强制执行此政策。

DKIM、SPF 和 DMARC 会分别显示在 Gmail 网页版的“显示原始邮件”菜单选项中。如需了解详情，请参阅检查 Gmail 邮件是否通过身份验证。

DKIM 匹配

为了让 DKIM 身份验证被视为“一致”，至少一个通过 DKIM 身份验证的签名网域的组织域名必须与 From 标头中的电子邮件地址的组织域名相同。这相当于 DMARC 规范 RFC7489 第 3.1.1 节中定义的宽松 DKIM 标识符对齐。

组织网域在 RFC7489 第 3.2 节中进行了定义，也称为网域的“eTLD+1”部分。例如，网域 foo.bar.example.com 的组织网域为 example.com。

通过 DKIM 身份验证的签名网域是指 DKIM 签名的 d= 标记的值。

例如，如果经过验证的 DKIM 签名成功通过 d=foo.example.com 验证，则如果 bar@foo.example.com、foo@example.com 和 foo@bar.example.com 出现在 From 标头中，则都将被视为一致，而 user@gmail.com 则不会，因为 gmail.com 与 example.com 不匹配。

TLS 加密

为确保 AMP 电子邮件的内容在传输过程中进行加密，您必须对包含 AMP 的电子邮件使用 TLS 加密。

Gmail 中有一个图标，用于指示电子邮件是使用 TLS 加密发送的还是未加密。如需了解详情，请参阅检查您接收的邮件是否经过加密。

HTTP 代理

系统会对源自 AMP 电子邮件的所有 XMLHttpRequest (XHR) 进行代理。这是为了保护用户的隐私。

CORS 标头

amp-list 和 amp-form 使用的所有服务器端点都必须实现 AMP for Email 中的 CORS 并正确设置 AMP-Email-Allow-Sender HTTP 标头。

限制

以下是其他网址限制。

重定向

XHR 网址不得使用 HTTP 重定向。返回重定向类（3XX 范围）状态代码（例如 302 Found 或 308 Permanent Redirect）的请求会失败，导致浏览器控制台显示警告消息。