ユーザーの安全とプライバシーを確保するため、動的メールには追加のセキュリティ要件と制限が適用されます。
送信者認証
AMP メールの送信元が正当なものであることを確認するため、AMP を含むメールには以下のチェックが行われます。
- メールは DKIM(Domain Keys Identified Mail)の認証に合格している必要があります。
- DKIM で認証された署名ドメインは、
Fromフィールドのメールのドメインと一致している必要があります。下記の DKIM の調整をご覧ください。 - メールは、SPF(Sender Policy Framework)認証に合格する必要があります。
また、メール送信者は、Domain-based Message Authentication, Reporting and Conformance(DMARC)ポリシーを使用して、処理を quarantine または reject に設定することをおすすめします。これは今後適用される可能性があります。
DKIM、SPF、DMARC は、ウェブ版 Gmail の [元のメッセージを表示] メニュー オプション内に別々の行として表示されます。詳細については、Gmail のメールが認証されているかどうかを確認するをご覧ください。
DKIM 調整
DKIM 認証が「調整済み」と見なされるには、少なくとも 1 つの DKIM で認証された署名ドメインの組織ドメインが、From ヘッダー内のメールアドレスの組織ドメインと同じである必要があります。これは、DMARC 仕様の RFC7489 Section 3.1.1 で定義されている緩和された DKIM Identifier Alignment と同等です。
組織ドメインは RFC7489 のセクション 3.2 で定義され、ドメインの「eTLD+1」部分とも呼ばれます。たとえば、ドメイン foo.bar.example.com には、組織ドメインとして example.com があります。
DKIM で認証された署名ドメインは、DKIM 署名の d= タグの値を指します。
たとえば、検証済みの DKIM 署名が d=foo.example.com で正常に検証された場合、bar@foo.example.com、foo@example.com、foo@bar.example.com はすべて From ヘッダーに存在する場合、整合しているとみなされますが、user@gmail.com は一致しないため、gmail.com は example.com と一致しません。
TLS 暗号化
AMP メールのコンテンツが送信中に暗号化されるようにするには、AMP を含むメールを TLS 暗号化で送信する必要があります。
Gmail のアイコンは、メールが TLS 暗号化で送信されたかどうかを示します。詳細については、受信したメッセージが暗号化されているかどうかを確認するをご覧ください。
HTTP プロキシ
AMP メールからのすべての XMLHttpRequest(XHR)がプロキシされます。これはユーザーのプライバシーを保護するためです。
CORS ヘッダー
amp-list と amp-form で使用されるすべてのサーバー エンドポイントは、AMP for Email に CORS を実装し、AMP-Email-Allow-Sender HTTP ヘッダーを正しく設定する必要があります。
制限
URL に関するその他の制限は次のとおりです。
リダイレクト
XHR URL では HTTP リダイレクトを使用しないでください。リダイレクト クラス(3XX 範囲)からステータス コード(302 Found や 308 Permanent Redirect など)を返すリクエストは失敗し、ブラウザ コンソール警告メッセージが表示されます。