Sicherheitsanforderungen

Zum Schutz der Nutzer und ihrer Daten unterliegen dynamische E-Mails zusätzlichen Sicherheitsanforderungen und -einschränkungen.

Absenderauthentifizierung

Damit der Absender einer AMP-E-Mail legitim ist, werden E-Mails mit AMP den folgenden Prüfungen unterzogen:

Außerdem wird E-Mail-Absendern empfohlen, eine DMARC-Richtlinie (Domain-based Message Authentication, Reporting and Conformance) zu verwenden, bei der die Zustellungsentscheidung entweder auf quarantine oder reject festgelegt ist. Dies wird möglicherweise in Zukunft erzwungen.

DKIM, SPF und DMARC werden in der Webversion von Gmail jeweils in separaten Zeilen im Menü „Original anzeigen“ angezeigt. Weitere Informationen finden Sie unter Prüfen, ob eine Gmail-Nachricht authentifiziert ist.

DKIM-Abgleich

Damit die DKIM-Authentifizierung als „ausgerichtet“ betrachtet wird, muss die Organisationsdomain von mindestens einer DKIM-authentifizierten Signaturdomain mit der Organisationsdomain der E-Mail-Adresse im From-Header übereinstimmen. Dies entspricht der entspannten DKIM-Identitätsabgleichung gemäß der DMARC-Spezifikation, RFC7489 Abschnitt 3.1.1.

Organisationsdomain ist in RFC7489 Abschnitt 3.2 definiert und wird auch als „eTLD+1“-Teil der Domain bezeichnet. Die Domain foo.bar.example.com hat beispielsweise example.com als Organisationsdomain.

DKIM-authentifizierte Signaturdomain bezieht sich auf den Wert des d=-Tags der DKIM-Signatur.

Wenn beispielsweise eine validierte DKIM-Signatur mit d=foo.example.com übereinstimmt, werden bar@foo.example.com, foo@example.com und foo@bar.example.com als übereinstimmend betrachtet, wenn sie im From-Header vorhanden sind. user@gmail.com hingegen nicht, da gmail.com nicht mit example.com übereinstimmt.

TLS-Verschlüsselung

Damit der Inhalt einer AMP-E-Mail während der Übertragung verschlüsselt wird, müssen Sie E-Mails mit AMP-Inhalten mit TLS verschlüsseln.

Ein Symbol in Gmail gibt an, ob eine E‑Mail mit TLS-Verschlüsselung gesendet wurde. Weitere Informationen finden Sie unter Prüfen, ob eine eingehende Nachricht verschlüsselt ist.

HTTP-Proxy

Alle XMLHttpRequests (XHRs), die von einer AMP-E-Mail stammen, werden über einen Proxy geleitet. Dies dient dem Schutz der Privatsphäre der Nutzer.

CORS-Header

Alle Serverendpunkte, die von amp-list und amp-form verwendet werden, müssen CORS in AMP für E-Mails implementieren und den AMP-Email-Allow-Sender-HTTP-Header korrekt festlegen.

Einschränkungen

Im Folgenden werden zusätzliche URL-Einschränkungen beschrieben.

Weiterleitungen

XHR-URLs dürfen keine HTTP-Weiterleitung verwenden. Anfragen, die einen Statuscode aus der Weiterleitungsklasse (3XX-Bereich) wie 302 Found oder 308 Permanent Redirect zurückgeben, schlagen fehl und es wird eine Warnmeldung in der Browserkonsole angezeigt.