Zum Schutz der Nutzer und ihrer Daten unterliegen dynamische E-Mails zusätzlichen Sicherheitsanforderungen und -einschränkungen.
Absenderauthentifizierung
Damit der Absender einer AMP-E-Mail legitim ist, werden E-Mails mit AMP den folgenden Prüfungen unterzogen:
- Die E-Mail muss die DKIM-Authentifizierung (DomainKeys Identified Mail) bestehen.
- Die DKIM-authentifizierte Signaturdomain muss mit der Domain der E-Mail im Feld
From
übereinstimmen. Weitere Informationen finden Sie unten im Abschnitt DKIM-Abgleich. - Die E-Mail muss die SPF-Authentifizierung (Sender Policy Framework) bestehen.
Außerdem wird E-Mail-Absendern empfohlen, eine DMARC-Richtlinie (Domain-based Message Authentication, Reporting and Conformance) zu verwenden, bei der die Zustellungsentscheidung entweder auf quarantine
oder reject
festgelegt ist. Dies wird möglicherweise in Zukunft erzwungen.
DKIM, SPF und DMARC werden in der Webversion von Gmail jeweils in separaten Zeilen im Menü „Original anzeigen“ angezeigt. Weitere Informationen finden Sie unter Prüfen, ob eine Gmail-Nachricht authentifiziert ist.
DKIM-Abgleich
Damit die DKIM-Authentifizierung als „ausgerichtet“ betrachtet wird, muss die Organisationsdomain von mindestens einer DKIM-authentifizierten Signaturdomain mit der Organisationsdomain der E-Mail-Adresse im From
-Header übereinstimmen. Dies entspricht der entspannten DKIM-Identitätsabgleichung gemäß der DMARC-Spezifikation, RFC7489 Abschnitt 3.1.1.
Organisationsdomain ist in RFC7489 Abschnitt 3.2 definiert und wird auch als „eTLD+1“-Teil der Domain bezeichnet. Die Domain foo.bar.example.com
hat beispielsweise example.com
als Organisationsdomain.
DKIM-authentifizierte Signaturdomain bezieht sich auf den Wert des d=
-Tags der DKIM-Signatur.
Wenn beispielsweise eine validierte DKIM-Signatur mit d=foo.example.com
übereinstimmt, werden bar@foo.example.com
, foo@example.com
und foo@bar.example.com
als übereinstimmend betrachtet, wenn sie im From
-Header vorhanden sind. user@gmail.com
hingegen nicht, da gmail.com
nicht mit example.com
übereinstimmt.
TLS-Verschlüsselung
Damit der Inhalt einer AMP-E-Mail während der Übertragung verschlüsselt wird, müssen Sie E-Mails mit AMP-Inhalten mit TLS verschlüsseln.
Ein Symbol in Gmail gibt an, ob eine E‑Mail mit TLS-Verschlüsselung gesendet wurde. Weitere Informationen finden Sie unter Prüfen, ob eine eingehende Nachricht verschlüsselt ist.
HTTP-Proxy
Alle XMLHttpRequests (XHRs), die von einer AMP-E-Mail stammen, werden über einen Proxy geleitet. Dies dient dem Schutz der Privatsphäre der Nutzer.
CORS-Header
Alle Serverendpunkte, die von amp-list
und amp-form
verwendet werden, müssen CORS in AMP für E-Mails implementieren und den AMP-Email-Allow-Sender
-HTTP-Header korrekt festlegen.
Einschränkungen
Im Folgenden werden zusätzliche URL-Einschränkungen beschrieben.
Weiterleitungen
XHR-URLs dürfen keine HTTP-Weiterleitung verwenden. Anfragen, die einen Statuscode aus der Weiterleitungsklasse (3XX
-Bereich) wie 302 Found
oder 308 Permanent Redirect
zurückgeben, schlagen fehl und es wird eine Warnmeldung in der Browserkonsole angezeigt.