Per garantire la sicurezza e la privacy degli utenti, le email dinamiche sono soggette a ulteriori requisiti e limitazioni di sicurezza.
Autenticazione del mittente
Per garantire che il mittente di un'email AMP sia legittimo, le email contenenti AMP sono soggette ai seguenti controlli:
- L'email deve superare l'autenticazione DKIM (Domain Keys Identified Mail).
- Il dominio della firma autenticato con DKIM deve essere in linea con il dominio dell'email nel campo
From
. Consulta Allineamento DKIM di seguito. - L'email deve superare l'autenticazione SPF (Sender Policy Framework).
Inoltre, è consigliabile che i mittenti di email utilizzino un criterio DMARC (Domain-based Message Authentication, Reporting and Conformance) con disposizione su quarantine
o reject
. Questa regola potrebbe
essere applicata in futuro.
DKIM, SPF e DMARC vengono visualizzati ciascuno come righe separate all'interno dell'opzione di menu "Mostra originale" in Gmail Web. Per ulteriori informazioni, vedi Controllare se il messaggio Gmail è autenticato.
Allineamento DKIM
Affinché l'autenticazione DKIM sia considerata "allineata", il dominio dell'organizzazione
di almeno un dominio di firma autenticato DKIM deve essere uguale al
dominio dell'organizzazione dell'indirizzo email nell'intestazione From
. Equivale all'allineamento rallentato dell'identificatore DKIM come definito nella specifica DMARC, in RFC7489 Section 3.1.1.
Il dominio dell'organizzazione è definito nella sezione 3.2 del documento RFC7489
ed è indicato anche come parte "eTLD+1" del dominio. Ad esempio, il dominio foo.bar.example.com
ha example.com
come dominio dell'organizzazione.
Il dominio di firma autenticato DKIM si riferisce al valore del tag d=
della firma DKIM.
Ad esempio, se una firma DKIM convalidata viene verificata correttamente con
d=foo.example.com
, i criteri bar@foo.example.com
, foo@example.com
e
foo@bar.example.com
vengono considerati allineati se presenti nell'intestazione From
,
mentre user@gmail.com
non corrisponde a
example.com
, perché gmail.com
non corrisponde.
Crittografia TLS
Per assicurarti che i contenuti di un'email AMP siano criptati in transito, devi Criptare TLS per le email contenenti AMP.
Un'icona in Gmail indica se un'email è stata inviata con la crittografia TLS. Per ulteriori informazioni, vedi Controllare se un messaggio ricevuto è criptato.
Proxy HTTP
Tutte le XMLHttpRequests (XHR) che provengono da un'email AMP vengono inviate tramite proxy. allo scopo di proteggere la privacy dell'utente.
Intestazioni CORS
Tutti gli endpoint server utilizzati da amp-list
e amp-form
devono implementare
CORS in AMP for Email
e impostare correttamente l'intestazione HTTP AMP-Email-Allow-Sender
.
Restrizioni
Di seguito vengono descritte ulteriori limitazioni relative agli URL.
Reindirizzamenti
Gli URL XHR non devono utilizzare il reindirizzamento HTTP. Le richieste che restituiscono un codice di stato dalla classe di reindirizzamento (intervallo 3XX
), come 302 Found
o 308 Permanent Redirect
, non hanno esito positivo, generando un messaggio di avviso della console del browser.