Pour garantir la sécurité et la confidentialité des utilisateurs, les e-mails dynamiques sont soumis à des exigences et restrictions de sécurité supplémentaires.
Authentification de l'expéditeur
Pour garantir la légitimité de l'expéditeur d'un e-mail AMP, les e-mails contenant des pages AMP sont soumis aux vérifications suivantes:
- L'adresse e-mail doit passer par l'authentification DKIM (Domain Keys Identified Mail).
- Le domaine de signature authentifié par DKIM doit être aligné sur le domaine de l'e-mail dans le champ
From
. Consultez la section Alignement DKIM ci-dessous. - L'adresse e-mail doit passer avec succès l'authentification SPF (Sender Policy Framework).
En outre, il est recommandé que les expéditeurs d'e-mails utilisent une règle DMARC (Domain-based Message Authentication, Reporting and Conformance) définie sur quarantine
ou reject
. Cette mesure peut être appliquée à l'avenir.
DKIM, SPF et DMARC apparaissent chacun sous la forme de lignes distinctes dans l'option de menu "Afficher l'original" de Gmail sur le Web. Pour en savoir plus, consultez la section Vérifier si votre message Gmail est authentifié.
Alignement avec DKIM
Pour que l'authentification DKIM soit considérée comme "alignée", le domaine organisationnel d'au moins un domaine de signature authentifié par DKIM doit être identique au domaine organisationnel de l'adresse e-mail dans l'en-tête From
. Cela équivaut à l'alignement d'identifiant DKIM simplifié tel que défini dans la spécification DMARC de la section 3.1.1 du document RFC7489.
Le domaine organisationnel est défini dans la section 3.2 du document RFC7489 et est également appelé "eTLD+1" du domaine. Par exemple, le domaine foo.bar.example.com
a example.com
comme domaine organisationnel.
Domaine de signature authentifié par DKIM fait référence à la valeur de la balise d=
de la signature DKIM.
Par exemple, si une signature DKIM validée est validée avec d=foo.example.com
, alors bar@foo.example.com
, foo@example.com
et foo@bar.example.com
seront tous considérés comme alignés s'ils sont présents dans l'en-tête From
, contrairement à user@gmail.com
, car gmail.com
ne correspond pas à example.com
.
Chiffrement TLS
Pour vous assurer que le contenu des e-mails AMP est chiffré en transit, vous devez utiliser le chiffrement TLS pour les e-mails contenant des pages AMP.
Une icône dans Gmail indique si un e-mail a été envoyé avec un chiffrement TLS. Pour en savoir plus, consultez la section Vérifier si un message que vous avez reçu est chiffré.
Proxy HTTP
Toutes les requêtes XMLHttpRequest (XHR) provenant d'un e-mail AMP sont transmises par proxy. Cela permet de protéger la confidentialité de l'utilisateur.
En-têtes CORS
Tous les points de terminaison de serveur utilisés par amp-list
et amp-form
doivent mettre en œuvre le CORS dans AMP for Email et définir correctement l'en-tête HTTP AMP-Email-Allow-Sender
.
Restrictions
Vous trouverez ci-dessous d'autres restrictions liées aux URL.
Redirections
Les URL XHR ne doivent pas utiliser de redirection HTTP. Les requêtes qui renvoient un code d'état à partir de la classe de redirection (plage 3XX
) comme 302 Found
ou 308 Permanent Redirect
échouent, ce qui génère un message d'avertissement dans la console du navigateur.