برای اطمینان از ایمنی و حریم خصوصی کاربر، ایمیلهای پویا مشمول الزامات و محدودیتهای امنیتی بیشتری هستند.
احراز هویت فرستنده
برای اطمینان از قانونی بودن فرستنده ایمیل AMP، ایمیلهای حاوی AMP مشمول بررسیهای زیر میشوند:
- ایمیل باید احراز هویت ایمیل با کلیدهای دامنه (DKIM) را ارسال کند.
- دامنه امضای تأیید شده با DKIM باید با دامنه ایمیل در فیلد
Fromتراز شود. DKIM Alignment را در زیر ببینید. - ایمیل باید از تأیید هویت فرستنده (SPF) عبور کند.
علاوه بر این، توصیه میشود که فرستندگان ایمیل از خطمشی احراز هویت، گزارشدهی و انطباق پیام مبتنی بر دامنه (DMARC) استفاده کنند که بهصورت quarantine یا reject تنظیم شده است. این ممکن است در آینده اجرا شود.
DKIM، SPF و DMARC هر کدام به عنوان خطوط جداگانه در گزینه منوی "Show Original" در Gmail Web ظاهر می شوند. برای اطلاعات بیشتر به بررسی اینکه آیا پیام Gmail شما احراز هویت شده است مراجعه کنید.
تراز DKIM
برای اینکه احراز هویت DKIM "تراز شده" در نظر گرفته شود، دامنه سازمانی حداقل یک دامنه امضای تایید شده توسط DKIM باید با دامنه سازمانی آدرس ایمیل در هدر From باشد. این معادل تراز شناسه DKIM آرام است که در مشخصات DMARC، RFC7489 بخش 3.1.1 تعریف شده است.
دامنه سازمانی در RFC7489 بخش 3.2 تعریف شده است و به عنوان بخش "eTLD+1" دامنه نیز نامیده می شود. به عنوان مثال، دامنه foo.bar.example.com دارای example.com به عنوان دامنه سازمانی خود است.
دامنه امضای تایید شده با DKIM به مقدار تگ d= امضای DKIM اشاره دارد.
برای مثال، اگر یک امضای معتبر DKIM با موفقیت با d=foo.example.com تأیید شود، bar@foo.example.com ، foo@example.com و foo@bar.example.com همگی در صورت وجود در تراز در نظر گرفته می شوند. From header در حالی که user@gmail.com این کار را نمی کند، زیرا gmail.com با example.com مطابقت ندارد.
رمزگذاری TLS
برای اطمینان از اینکه محتویات یک ایمیل AMP در حین انتقال رمزگذاری شده است، باید ایمیل های حاوی AMP را با TLS رمزگذاری کنید .
یک نماد در Gmail نشان می دهد که آیا ایمیلی با رمزگذاری TLS ارسال شده است یا خیر. برای اطلاعات بیشتر به بررسی اینکه آیا پیامی که دریافت کرده اید رمزگذاری شده است مراجعه کنید.
پروکسی HTTP
تمام درخواستهای XMLHttp (XHR) که از یک ایمیل AMP سرچشمه میگیرند، پروکسی هستند. این کار برای محافظت از حریم خصوصی کاربر انجام می شود.
سرصفحه های CORS
تمام نقاط پایانی سرور مورد استفاده توسط amp-list و amp-form باید CORS را در AMP برای ایمیل پیاده سازی کنند و هدر HTTP AMP-Email-Allow-Sender به درستی تنظیم کنند.
محدودیت ها
در زیر محدودیت های URL اضافی توضیح داده شده است.
تغییر مسیرها
URL های XHR نباید از تغییر مسیر HTTP استفاده کنند. درخواستهایی که کد وضعیت را از کلاس تغییر مسیر (محدوده 3XX ) باز میگردانند مانند 302 Found یا 308 Permanent Redirect با شکست مواجه میشوند و در نتیجه یک پیام هشدار کنسول مرورگر ایجاد میشود.
برای اطمینان از ایمنی و حریم خصوصی کاربر، ایمیلهای پویا مشمول الزامات و محدودیتهای امنیتی بیشتری هستند.
احراز هویت فرستنده
برای اطمینان از قانونی بودن فرستنده ایمیل AMP، ایمیلهای حاوی AMP مشمول بررسیهای زیر میشوند:
- ایمیل باید احراز هویت ایمیل با کلیدهای دامنه (DKIM) را ارسال کند.
- دامنه امضای تأیید شده با DKIM باید با دامنه ایمیل در فیلد
Fromتراز شود. DKIM Alignment را در زیر ببینید. - ایمیل باید از تأیید هویت فرستنده (SPF) عبور کند.
علاوه بر این، توصیه میشود که فرستندگان ایمیل از خطمشی احراز هویت، گزارشدهی و انطباق پیام مبتنی بر دامنه (DMARC) استفاده کنند که بهصورت quarantine یا reject تنظیم شده است. این ممکن است در آینده اجرا شود.
DKIM، SPF و DMARC هر کدام به عنوان خطوط جداگانه در گزینه منوی "Show Original" در Gmail Web ظاهر می شوند. برای اطلاعات بیشتر به بررسی اینکه آیا پیام Gmail شما احراز هویت شده است مراجعه کنید.
تراز DKIM
برای اینکه احراز هویت DKIM "تراز شده" در نظر گرفته شود، دامنه سازمانی حداقل یک دامنه امضای تایید شده توسط DKIM باید با دامنه سازمانی آدرس ایمیل در هدر From باشد. این معادل تراز شناسه DKIM آرام است که در مشخصات DMARC، RFC7489 بخش 3.1.1 تعریف شده است.
دامنه سازمانی در RFC7489 بخش 3.2 تعریف شده است و به عنوان بخش "eTLD+1" دامنه نیز نامیده می شود. به عنوان مثال، دامنه foo.bar.example.com دارای example.com به عنوان دامنه سازمانی خود است.
دامنه امضای تایید شده با DKIM به مقدار تگ d= امضای DKIM اشاره دارد.
برای مثال، اگر یک امضای معتبر DKIM با موفقیت با d=foo.example.com تأیید شود، bar@foo.example.com ، foo@example.com و foo@bar.example.com همگی در صورت وجود در تراز در نظر گرفته می شوند. From header در حالی که user@gmail.com این کار را نمی کند، زیرا gmail.com با example.com مطابقت ندارد.
رمزگذاری TLS
برای اطمینان از اینکه محتویات یک ایمیل AMP در حین انتقال رمزگذاری شده است، باید ایمیل های حاوی AMP را با TLS رمزگذاری کنید .
یک نماد در Gmail نشان می دهد که آیا ایمیلی با رمزگذاری TLS ارسال شده است یا خیر. برای اطلاعات بیشتر به بررسی اینکه آیا پیامی که دریافت کرده اید رمزگذاری شده است مراجعه کنید.
پروکسی HTTP
تمام درخواستهای XMLHttp (XHR) که از یک ایمیل AMP سرچشمه میگیرند، پروکسی هستند. این کار برای محافظت از حریم خصوصی کاربر انجام می شود.
سرصفحه های CORS
تمام نقاط پایانی سرور مورد استفاده توسط amp-list و amp-form باید CORS را در AMP برای ایمیل پیاده سازی کنند و هدر HTTP AMP-Email-Allow-Sender به درستی تنظیم کنند.
محدودیت ها
در زیر محدودیت های URL اضافی توضیح داده شده است.
تغییر مسیرها
URL های XHR نباید از تغییر مسیر HTTP استفاده کنند. درخواستهایی که کد وضعیت را از کلاس تغییر مسیر (محدوده 3XX ) باز میگردانند مانند 302 Found یا 308 Permanent Redirect با شکست مواجه میشوند و در نتیجه یک پیام هشدار کنسول مرورگر ایجاد میشود.