Pour garantir la sécurité et la confidentialité des utilisateurs, les e-mails dynamiques sont soumis à des exigences et restrictions de sécurité supplémentaires.
Authentification de l'expéditeur
Pour vous assurer que l'expéditeur d'un e-mail AMP est légitime, les e-mails contenant AMP sont soumis aux vérifications suivantes:
- L'e-mail doit être validé par l'authentification DKIM (DomainKeys Identified Mail).
- Le domaine de signature authentifié par DKIM doit être aligné sur le domaine de l'e-mail dans le champ
From
. Consultez la section Alignement DKIM ci-dessous. - L'e-mail doit passer l'authentification SPF (Sender Policy Framework).
En outre, nous recommandons aux expéditeurs d'e-mails d'utiliser une règle DMARC (Domain-based Message Authentication, Reporting and Conformance) avec une disposition définie sur quarantine
ou reject
. Cette règle sera peut-être appliquée à l'avenir.
DKIM, SPF et DMARC apparaissent chacun sur une ligne distincte dans l'option de menu "Afficher l'original" de Gmail sur le Web. Pour en savoir plus, consultez Contrôler l'authentification d'un message Gmail.
Alignement DKIM
Pour que l'authentification DKIM soit considérée comme "alignée", le domaine organisationnel d'au moins un domaine de signature authentifié par DKIM doit être identique au domaine organisationnel de l'adresse e-mail dans l'en-tête From
. Cela équivaut à l'alignement de l'identifiant DKIM assoupli tel que défini dans la spécification DMARC, RFC 7489, section 3.1.1.
Le domaine d'organisation est défini dans la section 3.2 de la RFC 7489 et est également appelé "eTLD+1". Par exemple, le domaine foo.bar.example.com
a example.com
comme domaine organisationnel.
Le domaine de signature authentifié par DKIM fait référence à la valeur de la balise d=
de la signature DKIM.
Par exemple, si une signature DKIM validée est correctement validée avec d=foo.example.com
, bar@foo.example.com
, foo@example.com
et foo@bar.example.com
sont tous considérés comme alignés s'ils sont présents dans l'en-tête From
, tandis que user@gmail.com
ne l'est pas, car gmail.com
ne correspond pas à example.com
.
Chiffrement TLS
Pour vous assurer que le contenu d'un e-mail AMP est chiffré en transit, vous devez chiffrer TLS les e-mails contenant AMP.
Une icône dans Gmail indique si un e-mail a été envoyé avec le chiffrement TLS. Pour en savoir plus, consultez Vérifier si un message que vous avez reçu est chiffré.
Proxy HTTP
Toutes les requêtes XMLHttpRequest (XHR) provenant d'un e-mail AMP sont mises en proxy. Cette mesure vise à protéger la confidentialité des utilisateurs.
En-têtes CORS
Tous les points de terminaison de serveur utilisés par amp-list
et amp-form
doivent implémenter le CORS dans AMP pour l'e-mail et définir correctement l'en-tête HTTP AMP-Email-Allow-Sender
.
Restrictions
Vous trouverez ci-dessous des restrictions supplémentaires concernant les URL.
Redirections
Les URL XHR ne doivent pas utiliser de redirection HTTP. Les requêtes qui renvoient un code d'état de la classe de redirection (plage 3XX
), comme 302 Found
ou 308 Permanent Redirect
, échouent, ce qui entraîne l'affichage d'un message d'avertissement dans la console du navigateur.