Per garantire la sicurezza e la privacy degli utenti, le email dinamiche sono soggette a limitazioni e requisiti di sicurezza aggiuntivi.
Autenticazione mittente
Per garantire che il mittente di un'email AMP sia legittimo, le email contenenti AMP sono soggette ai seguenti controlli:
- L'email deve superare l'autenticazione DKIM (Domain Keys Identified Mail).
- Il dominio di firma autenticata con DKIM deve essere allineato al dominio dell'email nel campo
From
. Consulta la sezione Allineamento DKIM di seguito. - L'email deve superare l'autenticazione SPF (Sender Policy Framework).
Inoltre, è consigliabile che i mittenti email utilizzino un criterio DMARC (Domain-based Message Authentication, Reporting and Conformance) con disposizione impostata su quarantine
o reject
. Questa regola potrebbe essere applicata
in futuro.
DKIM, SPF e DMARC vengono visualizzati come righe separate all'interno dell'opzione del menu "Mostra originale" in Gmail Web. Per ulteriori informazioni, vedi Controllare se il messaggio Gmail è autenticato.
Allineamento DKIM
Affinché l'autenticazione DKIM sia considerata "allineata", il dominio dell'organizzazione
di almeno un dominio di firma con autenticazione DKIM deve corrispondere al
dominio dell'organizzazione dell'indirizzo email nell'intestazione From
. Equivale all'allineamento degli identificatori DKIM semplificato come definito nella specifica DMARC, RFC7489 sezione 3.1.1.
Il dominio dell'organizzazione viene definito nella RFC7489 sezione 3.2 ed è indicato anche come la parte "eTLD+1" del dominio. Ad esempio, il dominio foo.bar.example.com
ha example.com
come dominio dell'organizzazione.
Dominio di firma DKIM autenticato si riferisce al valore del tag d=
della
firma DKIM.
Ad esempio, se una firma DKIM convalidata con esito positivo verifica con
d=foo.example.com
, bar@foo.example.com
, foo@example.com
e
foo@bar.example.com
vengono tutti considerati allineati se presenti nell'intestazione From
,
mentre user@gmail.com
no, poiché gmail.com
non corrisponde
example.com
.
Crittografia TLS
Per assicurarti che i contenuti di un'email AMP siano criptati in transito, devi Crittografia TLS per le email contenenti AMP.
Un'icona in Gmail indica se un'email è stata inviata con la crittografia TLS. Per ulteriori informazioni, consulta Controllare se un messaggio ricevuto è criptato.
Proxy HTTP
Vengono inviati il proxy per tutte le XMLHttpRequests (XHR) che provengono da un'email AMP. Questo viene fatto per proteggere la privacy dell'utente.
Intestazioni CORS
Tutti gli endpoint del server utilizzati da amp-list
e amp-form
devono implementare
CORS in AMP for Email
e impostare correttamente l'intestazione HTTP AMP-Email-Allow-Sender
.
Restrizioni
Di seguito vengono descritte ulteriori limitazioni degli URL.
Reindirizzamenti
Gli URL XHR non devono utilizzare il reindirizzamento HTTP. Le richieste che restituiscono un codice di stato dalla classe di reindirizzamento (intervallo 3XX
), come 302 Found
o 308 Permanent Redirect
, non vanno a buon fine e generano un messaggio di avviso della console del browser.