דרישות אבטחה

כדי לשמור על הבטיחות והפרטיות של המשתמשים, האימיילים הדינמיים כפופים להגבלות ולדרישות אבטחה נוספות.

אימות השולח

כדי לוודא שהשולח של אימייל AMP הוא חוקי, אימיילים שמכילים AMP כפופים לבדיקות הבאות:

נוסף לכך, מומלץ לשלוחי אימייל להשתמש במדיניות מבוססת-דומיין בנושא אימות, דיווח והתאמה של הודעות (DMARC) עם ההגדרה quarantine או reject. אפשר לאכוף את המדיניות הזו בעתיד.

DKIM, SPF ו-DMARC מופיעים כשורות נפרדות באפשרות התפריט 'הצגת המקור' ב-Gmail Web. למידע נוסף, קראו את המאמר איך בודקים אם הודעת Gmail מאומתת.

יישור DKIM

כדי שאימות DKIM ייחשב "מותאם", הדומיין הארגוני של דומיין אחד לפחות לחתימה עם DKIM חייב להיות זהה ל-Organizational Domain של כתובת האימייל בכותרת From. השם הזה זהה ליישור המזהה של DKIM שמוגדר במפרט DMARC, RFC7489 סעיף 3.1.1.

Organizational Domain מוגדר בסעיף 3.2 של RFC7489 ונקרא גם 'eTLD+1' של הדומיין. לדוגמה, לדומיין foo.bar.example.com יש את example.com בתור הדומיין הארגוני שלו.

דומיין לחתימה עם אימות DKIM מתייחס לערך של התג d= בחתימת ה-DKIM.

לדוגמה, אם חתימת DKIM מאומתת אומתה עם d=foo.example.com, אז bar@foo.example.com, foo@example.com ו-foo@bar.example.com יהיו תואמים כולן אם הן מופיעות בכותרת From, בעוד שהאימות של user@gmail.com לא תואם, מכיוון ש-gmail.com לא תואם ל-example.com.

הצפנת TLS

כדי לוודא שהתוכן של אימייל AMP מוצפן בזמן ההעברה, צריך להצפין TLS אימיילים שמכילים AMP.

סמל ב-Gmail מציין אם הודעת אימייל נשלחה עם הצפנת TLS. למידע נוסף, קראו את המאמר איך לבדוק אם הודעה שקיבלתם מוצפנת.

HTTP proxy

כל קובצי ה-XMLHttpRequests (XHRs) שמקורם באימיילים של AMP נשלחים דרך שרת proxy. המטרה היא להגן על פרטיות המשתמש.

כותרות CORS

כל נקודות הקצה של השרת ב-amp-list וב-amp-form צריכות להטמיע את CORS ב-AMP לאימייל ולהגדיר בצורה נכונה את כותרת ה-HTTP AMP-Email-Allow-Sender.

הגבלות

בהמשך מתוארות הגבלות נוספות על כתובות URL.

כתובות אתרים להפניה מחדש

אין להשתמש בהפניה אוטומטית מסוג HTTP בכתובות URL מסוג XHR. בקשות שמחזירה קוד סטטוס ממחלקת ההפניה האוטומטית (טווח 3XX), כמו 302 Found או 308 Permanent Redirect, נכשלות ומופיעה הודעת אזהרה במסוף הדפדפן.