כדי לשמור על הבטיחות והפרטיות של המשתמשים, האימיילים הדינמיים כפופים להגבלות ולדרישות אבטחה נוספות.
אימות השולח
כדי לוודא שהשולח של אימייל AMP הוא חוקי, אימיילים שמכילים AMP כפופים לבדיקות הבאות:
- האימייל צריך לעבור אימות של מפתחות דומיין (DKIM).
- הדומיין של החתימה שמאמתת DKIM צריך להתאים לדומיין של הודעת האימייל בשדה
From
. מידע נוסף זמין בקטע יישור DKIM בהמשך. - האימייל צריך לעבור את אימות מסגרת של מדיניות השולח (SPF).
נוסף לכך, מומלץ לשלוחי אימייל להשתמש במדיניות מבוססת-דומיין בנושא אימות, דיווח והתאמה של הודעות (DMARC) עם ההגדרה quarantine
או reject
. אפשר לאכוף את המדיניות הזו בעתיד.
DKIM, SPF ו-DMARC מופיעים כשורות נפרדות באפשרות התפריט 'הצגת המקור' ב-Gmail Web. למידע נוסף, קראו את המאמר איך בודקים אם הודעת Gmail מאומתת.
יישור DKIM
כדי שאימות DKIM ייחשב "מותאם", הדומיין הארגוני של דומיין אחד לפחות לחתימה עם DKIM חייב להיות זהה ל-Organizational Domain של כתובת האימייל בכותרת From
. השם הזה זהה ליישור המזהה של DKIM שמוגדר במפרט DMARC, RFC7489 סעיף 3.1.1.
Organizational Domain מוגדר בסעיף 3.2 של RFC7489 ונקרא גם 'eTLD+1' של הדומיין. לדוגמה, לדומיין foo.bar.example.com
יש את example.com
בתור הדומיין הארגוני שלו.
דומיין לחתימה עם אימות DKIM מתייחס לערך של התג d=
בחתימת ה-DKIM.
לדוגמה, אם חתימת DKIM מאומתת אומתה עם
d=foo.example.com
, אז bar@foo.example.com
, foo@example.com
ו-foo@bar.example.com
יהיו תואמים כולן אם הן מופיעות בכותרת From
, בעוד שהאימות של user@gmail.com
לא תואם, מכיוון ש-gmail.com
לא תואם ל-example.com
.
הצפנת TLS
כדי לוודא שהתוכן של אימייל AMP מוצפן בזמן ההעברה, צריך להצפין TLS אימיילים שמכילים AMP.
סמל ב-Gmail מציין אם הודעת אימייל נשלחה עם הצפנת TLS. למידע נוסף, קראו את המאמר איך לבדוק אם הודעה שקיבלתם מוצפנת.
HTTP proxy
כל קובצי ה-XMLHttpRequests (XHRs) שמקורם באימיילים של AMP נשלחים דרך שרת proxy. המטרה היא להגן על פרטיות המשתמש.
כותרות CORS
כל נקודות הקצה של השרת ב-amp-list
וב-amp-form
צריכות להטמיע את CORS ב-AMP לאימייל ולהגדיר בצורה נכונה את כותרת ה-HTTP AMP-Email-Allow-Sender
.
הגבלות
בהמשך מתוארות הגבלות נוספות על כתובות URL.
כתובות אתרים להפניה מחדש
אין להשתמש בהפניה אוטומטית מסוג HTTP בכתובות URL מסוג XHR. בקשות שמחזירה קוד סטטוס ממחלקת ההפניה האוטומטית (טווח 3XX
), כמו 302 Found
או 308 Permanent Redirect
, נכשלות ומופיעה הודעת אזהרה במסוף הדפדפן.