Para garantir a segurança e a privacidade do usuário, os e-mails dinâmicos estão sujeitos a requisitos e restrições de segurança adicionais.
Autenticação do remetente
Para garantir que o remetente de um e-mail com AMP seja legítimo, os e-mails que contêm AMP estão sujeitos às seguintes verificações:
- O e-mail precisa passar pela autenticação DKIM.
- O domínio de assinatura autenticado por DKIM precisa estar alinhado ao domínio do e-mail no campo
From
. Consulte Alinhamento do DKIM abaixo. - O e-mail precisa passar pela autenticação SPF (Sender Policy Framework).
Além disso, é recomendado que os remetentes de e-mail usem uma política de Relatórios, conformidade e autenticação de mensagens com base no domínio (DMARC) com a disposição definida como quarantine
ou reject
. Isso pode ser aplicado no
futuro.
DKIM, SPF e DMARC aparecem como linhas separadas na opção de menu "Mostrar original" no Gmail na Web. Consulte Verificar se sua mensagem do Gmail está autenticada para mais informações.
Alinhamento do DKIM
Para que a autenticação DKIM seja considerada "alinhada", o domínio organizacional
de pelo menos um domínio de assinatura autenticado por DKIM precisa ser o mesmo que o
domínio organizacional do endereço de e-mail no cabeçalho From
. Isso é equivalente ao alinhamento do identificador DKIM, conforme definido na especificação DMARC, RFC7489 Seção 3.1.1.
O Domínio organizacional é definido na Seção 3.2 do RFC7489
e também é conhecido como a parte "eTLD+1" do domínio. Por exemplo, o domínio foo.bar.example.com
tem example.com
como domínio organizacional.
O domínio de assinatura autenticado por DKIM refere-se ao valor da tag d=
da
assinatura do DKIM.
Por exemplo, se uma assinatura DKIM validada for verificada com
d=foo.example.com
, bar@foo.example.com
, foo@example.com
e
foo@bar.example.com
serão considerados alinhados se estiverem presentes no cabeçalho From
,
mas user@gmail.com
não, já que gmail.com
não corresponde a
example.com
.
Criptografia TLS
Para garantir que o conteúdo de um e-mail de AMP seja criptografado em trânsito, você precisa TLS Encrypt (em inglês) e-mails que contenham AMP.
Um ícone no Gmail indica se um e-mail foi enviado com a criptografia TLS. Consulte Verificar se uma mensagem que você recebeu é criptografada para mais informações.
Proxy HTTP
Todos os XMLHttpRequests (XHRs) originários de um e-mail AMP são colocados em proxy. Isso é feito para proteger a privacidade do usuário.
Cabeçalhos CORS
Todos os endpoints do servidor usados por amp-list
e amp-form
precisam implementar o CORS em AMP para e-mail e definir corretamente o cabeçalho HTTP AMP-Email-Allow-Sender
.
Restrições
Veja a seguir a descrição de outras restrições de URL.
Redirecionamentos
URLs XHR não podem usar o redirecionamento HTTP. As solicitações que retornam um código de status da
classe de redirecionamento (intervalo 3XX
), como 302 Found
ou 308 Permanent Redirect
,
falham, resultando em uma mensagem de aviso no console do navegador.