Pour garantir la sécurité et la confidentialité des utilisateurs, les e-mails dynamiques sont soumis à des exigences et des restrictions de sécurité supplémentaires.
Authentification de l'expéditeur
Pour garantir la légitimité de l'expéditeur d'un e-mail AMP, les e-mails contenant une page AMP sont soumis aux vérifications suivantes:
- L'adresse e-mail doit être conforme à l'authentification DKIM (Domain Keys Identified Mail).
- Le domaine de signature authentifié par DKIM doit correspondre au domaine de l'adresse e-mail dans le champ
From
. Reportez-vous à la section Alignement DKIM ci-dessous. - L'e-mail doit être approuvé avec l'authentification SPF (Sender Policy Framework).
En outre, il est recommandé aux expéditeurs d'utiliser une règle DMARC (Domain-based Message Authentication, Reporting and Conformance) dont la disposition est définie sur quarantine
ou reject
. Cette règle pourra être appliquée à l'avenir.
Les paramètres DKIM, SPF et DMARC apparaissent chacun sur une ligne distincte dans l'option de menu "Afficher l'original" dans Gmail sur le Web. Pour en savoir plus, consultez Vérifier si votre message Gmail est authentifié.
Alignement DKIM
Pour que l'authentification DKIM soit considérée comme "alignée", le domaine organisationnel d'au moins un domaine de signature authentifié avec DKIM doit être identique au domaine organisationnel de l'adresse e-mail indiquée dans l'en-tête From
. Cela équivaut à l'assouplissement de l'alignement des identifiants DKIM tel que défini dans la spécification DMARC, section 3.1.1 du document RFC7489.
Le domaine d'organisation est défini dans la section 3.2 de la RFC7489. Il est également appelé partie "eTLD+1" du domaine. Par exemple, le domaine foo.bar.example.com
est associé à example.com
comme domaine organisationnel.
Le domaine de signature authentifié par DKIM fait référence à la valeur du tag d=
de la signature DKIM.
Par exemple, si une signature DKIM validée est validée avec d=foo.example.com
, alors bar@foo.example.com
, foo@example.com
et foo@bar.example.com
seront tous considérés comme alignés s'ils sont présents dans l'en-tête From
, contrairement à user@gmail.com
, car gmail.com
ne correspond pas à example.com
.
Chiffrement TLS
Pour vous assurer que le contenu d'un e-mail AMP est chiffré pendant son acheminement, vous devez chiffrer via TLS les e-mails contenant des pages AMP.
Une icône dans Gmail indique si un e-mail a été envoyé avec le chiffrement TLS. Pour en savoir plus, consultez la section Vérifier si un message reçu est chiffré.
Proxy HTTP
Toutes les requêtes XMLHttpRequest (XHR) provenant d'un e-mail AMP sont transmises par proxy. Cela permet de protéger la confidentialité de l'utilisateur.
En-têtes CORS
Tous les points de terminaison de serveur utilisés par amp-list
et amp-form
doivent implémenter CORS dans AMP pour les e-mails et définir correctement l'en-tête HTTP AMP-Email-Allow-Sender
.
Restrictions
Vous trouverez ci-dessous la description des autres restrictions appliquées aux URL.
Redirections
Les URL XHR ne doivent pas utiliser la redirection HTTP. Les requêtes qui renvoient un code d'état de la classe de redirection (plage 3XX
), telle que 302 Found
ou 308 Permanent Redirect
, échouent, ce qui génère un message d'avertissement dans la console du navigateur.