Para garantir a segurança e a privacidade do usuário, os e-mails dinâmicos estão sujeitos a mais restrições e requisitos de segurança.
Autenticação do remetente
Para garantir que o remetente de um e-mail AMP seja legítimo, os e-mails que contêm AMP estão sujeitos às seguintes verificações:
- O e-mail precisa passar na autenticação do Domain Keys Identified Mail (DKIM).
- O domínio de assinatura autenticado por DKIM precisa estar alinhado com o domínio do e-mail no campo
From
. Consulte Alinhamento do DKIM abaixo. - O e-mail precisa passar pela autenticação do Sender Policy Framework (SPF).
Além disso, recomendamos que os remetentes de e-mail usem uma política de DMARC (Domain-based Message Authentication, Reporting, and Conformance)
com a disposição definida como quarantine
ou reject
. Isso pode ser aplicado no
futuro.
O DKIM, o SPF e o DMARC aparecem como linhas separadas na opção de menu "Mostrar original" no Gmail na Web. Consulte Verificar se a mensagem do Gmail foi autenticada para mais informações.
Alinhamento do DKIM
Para que a autenticação do DKIM seja considerada "alinhada", o Domínio da organização
de pelo menos um Domínio de assinatura autenticado pelo DKIM precisa ser o mesmo que o
Domínio da organização do endereço de e-mail no cabeçalho From
. Isso é equivalente ao
alinhamento do identificador DKIM relaxado, conforme definido na especificação DMARC,
RFC7489, seção 3.1.1.
O domínio organizacional é definido na RFC7489, seção 3.2
e também é conhecido como a parte "eTLD+1" do domínio. Por exemplo, o domínio foo.bar.example.com
tem example.com
como domínio organizacional.
Domínio de assinatura autenticado por DKIM se refere ao valor da tag d=
da
assinatura DKIM.
Por exemplo, se uma assinatura DKIM validada for verificada com
d=foo.example.com
, bar@foo.example.com
, foo@example.com
e
foo@bar.example.com
serão considerados alinhados se estiverem presentes no cabeçalho
From
, enquanto user@gmail.com
não será, porque gmail.com
não corresponde a
example.com
.
Criptografia TLS
Para garantir que o conteúdo de um e-mail AMP seja criptografado em trânsito, é necessário criptografar com TLS os e-mails que contêm AMP.
Um ícone no Gmail indica se um e-mail foi enviado com criptografia TLS. Consulte Verificar se uma mensagem que você recebeu está criptografada para mais informações.
Proxy HTTP
Todos os XMLHttpRequests (XHRs) que são originados de um e-mail do AMP são usados como proxy. Isso é feito para proteger a privacidade do usuário.
Cabeçalhos CORS
Todos os endpoints do servidor usados por amp-list
e amp-form
precisam implementar
CORS no AMP para e-mail
e definir corretamente o cabeçalho HTTP AMP-Email-Allow-Sender
.
Restrições
Confira a seguir outras restrições de URL.
Redirecionamentos
Os URLs XHR não podem usar redirecionamento HTTP. As solicitações que retornam um código de status da
classe de redirecionamento (intervalo 3XX
), como 302 Found
ou 308 Permanent Redirect
,
falham, resultando em uma mensagem de aviso do console do navegador.