Um die Sicherheit und den Datenschutz für Nutzer zu gewährleisten, unterliegen dynamische E-Mails zusätzlichen Sicherheitsanforderungen und -beschränkungen.
Absenderauthentifizierung
Um sicherzustellen, dass der Absender einer AMP-E-Mail legitim ist, werden E-Mails mit AMP folgenden Prüfungen unterzogen:
- Die E-Mail muss die DKIM-Authentifizierung (Domain Keys Identified Mail) bestehen.
- Die DKIM-authentifizierte Domain für die Signatur muss mit der Domain der E-Mail im Feld
From
übereinstimmen. Weitere Informationen finden Sie unten im Abschnitt DKIM-Ausrichtung. - Die E-Mail muss die SPF-Authentifizierung (Sender Policy Framework) bestehen.
Darüber hinaus wird empfohlen, dass E-Mail-Absender eine DMARC-Richtlinie (Domain-based Message Authentication, Reporting and Conformance) verwenden, bei der die Disposition entweder auf quarantine
oder reject
festgelegt ist. Dies wird möglicherweise in Zukunft erzwungen.
DKIM, SPF und DMARC werden in Gmail Web in der Menüoption „Original anzeigen“ jeweils als separate Zeilen angezeigt. Weitere Informationen finden Sie unter Prüfen, ob Ihre Gmail-Nachricht authentifiziert ist.
DKIM-Ausrichtung
Damit die DKIM-Authentifizierung als „ausgerichtet“ gilt, muss die Organisationsdomain mindestens einer DKIM-authentifizierten Signaturdomain mit der Organisationsdomain der E-Mail-Adresse im From
-Header übereinstimmen. Dies entspricht der gelockerten DKIM-ID-Ausrichtung gemäß der Definition in der DMARC-Spezifikation in RFC7489, Abschnitt 3.1.1.
Die Organisationsdomain ist in RFC7489 Abschnitt 3.2 definiert und wird auch als Teil „eTLD+1“ der Domain bezeichnet. Die Domain foo.bar.example.com
hat beispielsweise example.com
als Organisationsdomain.
DKIM-authentifizierte Signaturdomain bezieht sich auf den Wert des Tags d=
der DKIM-Signatur.
Wenn beispielsweise eine validierte DKIM-Signatur mit d=foo.example.com
erfolgreich bestätigt wurde, gelten bar@foo.example.com
, foo@example.com
und foo@bar.example.com
als einheitlich, wenn sie im From
-Header vorhanden sind. user@gmail.com
hingegen nicht, da gmail.com
nicht mit example.com
übereinstimmt.
TLS-Verschlüsselung
Damit der Inhalt einer AMP-E-Mail bei der Übertragung verschlüsselt wird, müssen Sie E-Mails mit AMP mit TLS verschlüsseln.
Ein Symbol in Gmail zeigt an, ob eine E-Mail mit TLS-Verschlüsselung gesendet wurde. Weitere Informationen finden Sie unter Prüfen, ob eine empfangene Nachricht verschlüsselt ist.
HTTP-Proxy
Alle XMLHttpRequests (XHRs), die von einer AMP-E-Mail stammen, werden weitergeleitet. Dies geschieht, um die Privatsphäre der Nutzenden zu schützen.
CORS-Header
Alle von amp-list
und amp-form
verwendeten Serverendpunkte müssen CORS in AMP for Email implementieren und den HTTP-Header AMP-Email-Allow-Sender
korrekt festlegen.
Einschränkungen
Im Folgenden werden zusätzliche URL-Einschränkungen beschrieben.
Weiterleitungen
XHR-URLs dürfen keine HTTP-Weiterleitung verwenden. Anfragen, die einen Statuscode aus der Weiterleitungsklasse (3XX
-Bereich) wie 302 Found
oder 308 Permanent Redirect
zurückgeben, schlagen fehl und werden in der Browserkonsole angezeigt.