为了确保用户的安全和隐私,动态电子邮件需要遵守额外的安全要求和限制。
发件人身份验证
为确保 AMP 电子邮件的发件人是合法的,我们对包含 AMP 的电子邮件接受以下检查:
- 该电子邮件必须通过域名密钥识别邮件 (DKIM) 身份验证。
- 通过 DKIM 身份验证的签名网域必须与
From
字段中的电子邮件域名一致。请参阅下文的 DKIM 匹配。 - 电子邮件必须通过发件人策略框架 (SPF) 身份验证。
此外,建议电子邮件发件人使用基于网域的邮件身份验证、报告和一致性 (DMARC) 政策,并将处理方式设置为 quarantine
或 reject
。将来,系统可能会强制执行此操作。
在 Gmail 网页版的“显示原始邮件”菜单选项中,DKIM、SPF 和 DMARC 均会以单独的行显示。如需了解详情,请参阅检查您的 Gmail 邮件是否通过身份验证。
DKIM 匹配
为了使 DKIM 身份验证被视为“一致”,至少一个通过 DKIM 身份验证的签名网域的组织网域必须与 From
标头中电子邮件地址的组织网域相同。这相当于 DMARC 规范 RFC7489 第 3.1.1 节中定义的放宽的 DKIM 标识符对齐方式。
组织网域在 RFC7489 第 3.2 节中定义,也称为网域的“eTLD+1”部分。例如,网域 foo.bar.example.com
的组织网域为 example.com
。
已通过 DKIM 身份验证的签名网域是指 DKIM 签名的 d=
标记的值。
例如,如果经过验证的 DKIM 签名使用 d=foo.example.com
成功通过验证,则如果 From
标头中存在 bar@foo.example.com
、foo@example.com
和 foo@bar.example.com
,则 bar@foo.example.com
、foo@example.com
和 foo@bar.example.com
都将被视为对齐,而 user@gmail.com
则不会,因为 gmail.com
与 example.com
不匹配。
TLS 加密
为了确保 AMP 电子邮件的内容在传输过程中加密,您必须对包含 AMP 的电子邮件执行 TLS Encrypt。
Gmail 中的图标会指明电子邮件是否使用了 TLS 加密。如需了解详情,请参阅检查您收到的消息是否经过加密。
HTTP 代理
所有源自 AMP 电子邮件的 XMLHttpRequest (XHR) 都会被代理。这样做是为了保护用户的隐私。
CORS 标头
amp-list
和 amp-form
使用的所有服务器端点都必须实现适用于电子邮件的 AMP 网页 (CORS) 功能,并正确设置 AMP-Email-Allow-Sender
HTTP 标头。
限制
下面介绍了其他网址限制。
重定向
XHR 网址不得使用 HTTP 重定向。从重定向类(3XX
范围)(例如 302 Found
或 308 Permanent Redirect
)返回状态代码的请求会失败,并会导致浏览器控制台警告消息。