Чтобы обеспечить безопасность и конфиденциальность пользователей, к динамическим электронным письмам применяются дополнительные требования и ограничения безопасности.
Аутентификация отправителя
Чтобы убедиться, что отправитель электронного письма AMP является законным, электронные письма, содержащие AMP, подлежат следующим проверкам:
- Электронная почта должна пройти проверку подлинности почты, идентифицируемой ключами домена (DKIM) .
- Домен подписи с аутентификацией DKIM должен быть сопоставлен с доменом электронной почты в поле
From. См. «Выравнивание DKIM» ниже. - Электронная почта должна пройти проверку подлинности SPF (Sender Policy Framework) .
Кроме того, отправителям электронной почты рекомендуется использовать политику проверки подлинности, отчетности и соответствия сообщений на основе домена (DMARC) , в которой установлено значение «поместить в quarantine или reject . Это может быть введено в действие в будущем.
DKIM, SPF и DMARC отображаются в виде отдельных строк в пункте меню «Показать оригинал» в Gmail Web. Дополнительную информацию см. в разделе «Проверка подлинности вашего сообщения Gmail» .
Выравнивание DKIM
Чтобы аутентификация DKIM считалась «согласованной», организационный домен хотя бы одного подписывающего домена с аутентификацией DKIM должен совпадать с организационным доменом адреса электронной почты в заголовке From . Это эквивалентно смягченному выравниванию идентификатора DKIM, как определено в спецификации DMARC, RFC7489, раздел 3.1.1 .
Домен организации определен в разделе 3.2 RFC7489 и также называется частью домена «eTLD+1». Например, домен foo.bar.example.com имеет example.com в качестве организационного домена .
Домен подписи с аутентификацией DKIM относится к значению тега d= подписи DKIM.
Например, если проверенная подпись DKIM успешно проверяется с помощью d=foo.example.com , то bar@foo.example.com , foo@example.com и foo@bar.example.com будут считаться выровненными, если они присутствуют в From заголовка, а user@gmail.com — нет, поскольку gmail.com не соответствует example.com .
TLS-шифрование
Чтобы гарантировать, что содержимое электронного письма AMP зашифровано при передаче, вы должны шифровать электронные письма, содержащие AMP, с помощью TLS .
Значок в Gmail указывает, было ли электронное письмо отправлено с шифрованием TLS. Дополнительную информацию см . в разделе «Проверьте, зашифровано ли полученное вами сообщение» .
HTTP-прокси
Все XMLHttpRequests (XHR), исходящие из электронного письма AMP, передаются через прокси. Это сделано для защиты конфиденциальности пользователя.
CORS-заголовки
Все конечные точки сервера, используемые amp-list и amp-form должны реализовать CORS в AMP для электронной почты и правильно установить HTTP-заголовок AMP-Email-Allow-Sender .
Ограничения
Ниже описаны дополнительные ограничения URL-адресов.
Перенаправления
URL-адреса XHR не должны использовать перенаправление HTTP. Запросы, возвращающие код состояния из класса перенаправления (диапазон 3XX ), например 302 Found или 308 Permanent Redirect , завершаются неудачей, что приводит к появлению предупреждающего сообщения в консоли браузера.