Para garantizar la seguridad y la privacidad de los usuarios, los correos electrónicos dinámicos están sujetos a requisitos y restricciones de seguridad adicionales.
Autenticación del remitente
Para garantizar que el remitente de un correo electrónico de AMP sea legítimo, los correos electrónicos que contienen AMP están sujetos a las siguientes verificaciones:
- El correo electrónico debe pasar la autenticación de correo identificado con las claves de dominio (DKIM).
- El dominio de firma autenticado con DKIM debe alinearse con el dominio del correo electrónico en el campo
From
. Consulta Alineación DKIM a continuación. - El correo electrónico debe pasar la autenticación del Marco de políticas del remitente (SPF).
Además, se recomienda que los remitentes de correos electrónicos usen una política de Autenticación de mensajes, informes y cumplimiento basados en el dominio (DMARC) con la disposición configurada en quarantine
o reject
. Esto podría aplicarse de manera forzosa en el futuro.
DKIM, SPF y DMARC aparecen como líneas separadas dentro de la opción del menú “Mostrar original” en la versión web de Gmail. Consulta Cómo verificar si tu mensaje de Gmail está autenticado para obtener más información.
Alineación con DKIM
Para que la autenticación de DKIM se considere "alineada", el dominio organizacional de al menos un dominio de firma autenticado DKIM debe ser el mismo que el dominio organizacional de la dirección de correo electrónico en el encabezado From
. Esto equivale a la alineación de identificadores DKIM relajada, como se define en la especificación de DMARC, RFC7489, sección 3.1.1.
El dominio de la organización se define en el artículo 3.2 de RFC7489 y también se conoce como la parte "eTLD+1" del dominio. Por ejemplo, el dominio foo.bar.example.com
tiene example.com
como su dominio organizacional.
El dominio de firma autenticado DKIM hace referencia al valor de la etiqueta d=
de la firma DKIM.
Por ejemplo, si una firma DKIM validada se verifica correctamente con d=foo.example.com
, bar@foo.example.com
, foo@example.com
y foo@bar.example.com
se considerarán alineados si están presentes en el encabezado From
, mientras que user@gmail.com
no, ya que gmail.com
no coincide con example.com
.
Encriptación TLS
Para asegurarte de que el contenido de un correo electrónico de AMP se encripte durante el envío, debes encriptar con TLS los correos electrónicos que contengan AMP.
Un ícono en Gmail indica si un correo electrónico se envió con encriptación TLS. Para obtener más información, consulta Cómo verificar si un mensaje que recibiste está encriptado.
Proxy HTTP
Todas las XMLHttpRequest (XHR) que se originan a partir de un correo electrónico de AMP se envían a través de proxy. Esto se hace para proteger la privacidad del usuario.
Encabezados de CORS
Todos los extremos del servidor que usan amp-list
y amp-form
deben implementar CORS en AMP para correo electrónico y configurar correctamente el encabezado HTTP AMP-Email-Allow-Sender
.
Restricciones
A continuación, se describen otras restricciones de URL.
Redireccionamientos
Las URLs XHR no deben usar redireccionamiento HTTP. Las solicitudes que muestran un código de estado de la clase de redireccionamiento (rango 3XX
), como 302 Found
o 308 Permanent Redirect
, fallan y generan un mensaje de advertencia en la consola del navegador.