为了确保用户的安全和隐私,动态电子邮件需遵守额外的安全要求和限制。
发件人身份验证
为了确保 AMP 电子邮件的发件人是合法的,系统会对包含 AMP 的电子邮件进行以下检查:
- 电子邮件必须通过域名密钥识别邮件 (DKIM) 身份验证。
- 经过 DKIM 身份验证的签名域名必须与
From字段中的电子邮件域名一致。请参阅下面的 DKIM 匹配。 - 电子邮件必须通过发件人政策框架 (SPF) 身份验证。
此外,建议电子邮件发件人使用基于网域的邮件身份验证、报告和一致性 (DMARC) 政策,并将配置设置为 quarantine 或 reject。将来可能会强制执行此要求。
在 Gmail 网页版的“显示原始邮件”菜单选项中,DKIM、SPF 和 DMARC 分别以单独的行显示。如需了解详情,请参阅检查您的 Gmail 邮件是否通过身份验证。
DKIM 一致性
为了让 DKIM 身份验证被视为“统一”,至少一个经过 DKIM 身份验证的签名网域的组织网域必须与 From 标头中电子邮件地址的组织网域相同。这相当于 DMARC 规范 RFC7489 第 3.1.1 节中定义的放宽的 DKIM 标识符匹配。
组织网域是在 RFC7489 第 3.2 节中定义的,也称为网域的“eTLD+1”部分。例如,网域 foo.bar.example.com 使用 example.com 作为其组织网域。
DKIM 身份验证的签名网域是指 DKIM 签名的 d= 标记的值。
例如,如果经过验证的 DKIM 签名成功通过 d=foo.example.com 进行验证,则 bar@foo.example.com、foo@example.com 和 foo@bar.example.com(如果 From 标头中存在)都会被视为已匹配,而 user@gmail.com 则不会,因为 gmail.com 与 example.com 不匹配。
TLS 加密
为了确保 AMP 电子邮件的内容在传输过程中经过加密,您必须对包含 AMP 的电子邮件进行 TLS 加密。
Gmail 中的图标会指示电子邮件是否是通过 TLS 加密发送的。如需了解详情,请参阅检查您收到的消息是否经过加密。
HTTP 代理
来自 AMP 电子邮件的所有 XMLHttpRequest (XHR) 都会被代理。这样做是为了保护用户的隐私。
CORS 标头
amp-list 和 amp-form 使用的所有服务器端点都必须在 AMP for Email 中实现 CORS,并正确设置 AMP-Email-Allow-Sender HTTP 标头。
限制
下面介绍了其他网址限制。
重定向
XHR 网址不得使用 HTTP 重定向。从重定向类(3XX 范围)返回状态代码(例如 302 Found 或 308 Permanent Redirect)的请求将失败,并显示浏览器控制台警告消息。