ユーザーの安全とプライバシーを確保するため、動的メールには追加のセキュリティ要件と制限が適用されます。
送信者の認証
AMP メールの送信者が正当であることを確認するため、AMP を含むメールは次のチェックを受けます。
- メールは DKIM(DomainKeys Identified Mail)認証に合格する必要があります。
- DKIM で認証された署名ドメインは、
Fromフィールドのメールのドメインと一致している必要があります。下記の DKIM 調整をご覧ください。 - メールは SPF(Sender Policy Framework)認証に合格する必要があります。
また、メール送信者は、処理結果を quarantine または reject に設定した DMARC(Domain-based Message Authentication, Reporting, and Conformance)ポリシーを使用することをおすすめします。今後、この要件が適用される可能性があります。
DKIM、SPF、DMARC は、ウェブ版 Gmail の [メッセージのソースを表示] メニュー オプション内にそれぞれ個別の行として表示されます。詳しくは、Gmail のメールが認証されているかどうかを確認するをご覧ください。
DKIM 調整
DKIM 認証が「一致」と見なされるには、少なくとも 1 つの DKIM で認証された署名ドメインの組織ドメインが、From ヘッダーのメールアドレスの組織ドメインと一致している必要があります。これは、DMARC 仕様(RFC7489 セクション 3.1.1)で定義されている緩和された DKIM ID の調整と同等です。
組織ドメインは RFC7489 セクション 3.2 で定義されており、ドメインの「eTLD+1」部分とも呼ばれます。たとえば、ドメイン foo.bar.example.com の組織ドメインは example.com です。
DKIM で認証された署名ドメインは、DKIM 署名の d= タグの値を指します。
たとえば、検証済みの DKIM 署名が d=foo.example.com で正常に検証された場合、bar@foo.example.com、foo@example.com、foo@bar.example.com はすべて From ヘッダーに存在する場合に一致していると見なされますが、user@gmail.com は gmail.com が example.com と一致しないため一致しているとは見なされません。
TLS 暗号化
AMP メールのコンテンツが転送中に暗号化されるようにするには、AMP を含むメールを TLS で暗号化する必要があります。
Gmail のアイコンは、メールが TLS 暗号化で送信されたかどうかを示します。詳しくは、受信したメッセージが暗号化されているか確認するをご覧ください。
HTTP プロキシ
AMP メールから送信されるすべての XMLHttpRequest(XHR)はプロキシされます。これは、ユーザーのプライバシーを保護するためです。
CORS ヘッダー
amp-list と amp-form で使用されるすべてのサーバー エンドポイントは、AMP for Email の CORS を実装し、AMP-Email-Allow-Sender HTTP ヘッダーを正しく設定する必要があります。
制限事項
以下の URL の制限事項について説明します。
リダイレクト
XHR URL で HTTP リダイレクトを使用しないでください。302 Found や 308 Permanent Redirect などのリダイレクト クラス(3XX の範囲)のステータス コードを返すリクエストは失敗し、ブラウザ コンソールに警告メッセージが表示されます。