Aby zapewnić bezpieczeństwo i prywatność użytkowników, dynamiczne e-maile podlegają dodatkowym wymaganiom i ograniczeniom w zakresie bezpieczeństwa.
Uwierzytelnianie nadawcy
Aby mieć pewność, że nadawca e-maila w formacie AMP jest wiarygodny, e-maile zawierające strony AMP są sprawdzane pod:
- E-mail musi przejść uwierzytelnianie DKIM (Domain Keys Identified Mail).
- Domena podpisywania uwierzytelnionego za pomocą DKIM musi być zgodna z domeną e-maila w polu
From
. Zobacz Dostosowywanie DKIM poniżej. - E-mail musi przechodzić przez uwierzytelnianie SPF (Sender Policy Framework).
Ponadto zalecamy, aby nadawcy e-maili używali zasad DMARC (Domain-based Message Authentication, Reporting and Conformance) z dyspozycją quarantine
lub reject
. W przyszłości może to też zostać wprowadzone.
DKIM, SPF i DMARC są wyświetlane w oddzielnych wierszach w menu „Pokaż oryginał” w Gmailu w przeglądarce. Więcej informacji znajdziesz w artykule Sprawdzanie, czy wiadomość w Gmailu jest uwierzytelniona.
Dostosowywanie DKIM
Aby uwierzytelnianie DKIM zostało uznane za „dopasowane”, domena organizacji co najmniej 1 domeny podpisywania uwierzytelnionej przez DKIM musi być taka sama jak domena organizacji adresu e-mail w nagłówku From
. Jest to odpowiednik łagodnego wyrównania identyfikatorów DKIM, jak określono w specyfikacji DMARC RFC7489 w sekcji 3.1.1.
Domena organizacji jest zdefiniowana w RFC7489 w sekcji 3.2 i zwana jest też częścią domeny „eTLD+1”. Na przykład domena foo.bar.example.com
ma example.com
jako domenę organizacji.
Domena podpisywania uwierzytelnionego przez DKIM wskazuje wartość tagu d=
podpisu DKIM.
Jeśli na przykład zweryfikowany podpis DKIM zostanie pomyślnie zweryfikowany za pomocą d=foo.example.com
, atrybuty bar@foo.example.com
, foo@example.com
i foo@bar.example.com
zostaną uznane za zgodne, jeśli znajdują się w nagłówku From
, a element user@gmail.com
go nie zawiera, ponieważ gmail.com
nie pasuje do example.com
.
Szyfrowanie TLS
Aby mieć pewność, że zawartość e-maila AMP jest szyfrowana podczas przesyłania, e-maile zawierające strony AMP muszą być zaszyfrowane przy użyciu TLS.
Ikona w Gmailu wskazuje, czy e-mail został wysłany przy użyciu szyfrowania TLS. Więcej informacji znajdziesz w artykule Sprawdzanie, czy otrzymana wiadomość jest zaszyfrowana.
Serwer proxy HTTP
Wszystkie żądania XMLHttpRequest (XHR) pochodzące z e-maila AMP są przesyłane przez serwer proxy. Ma to na celu ochronę prywatności użytkownika.
Nagłówki CORS
Wszystkie punkty końcowe serwera używane przez amp-list
i amp-form
muszą implementować CORS w AMP dla poczty e-mail i prawidłowo ustawić nagłówek HTTP AMP-Email-Allow-Sender
.
Ograniczenia
Poniżej opisaliśmy dodatkowe ograniczenia dotyczące adresów URL.
Przekierowania
Adresy URL XHR nie mogą używać przekierowań HTTP. Żądania zwracające kod stanu z klasy przekierowania (zakres 3XX
), np. 302 Found
lub 308 Permanent Redirect
, kończą się niepowodzeniem, co skutkuje ostrzeżeniem w konsoli przeglądarki.