Чтобы обеспечить безопасность и конфиденциальность пользователей, к динамическим электронным письмам применяются дополнительные требования и ограничения безопасности.
Аутентификация отправителя
Чтобы убедиться, что отправитель электронного письма AMP является законным, электронные письма, содержащие AMP, подлежат следующим проверкам:
- Электронная почта должна пройти проверку подлинности почты, идентифицируемой ключами домена (DKIM) .
- Домен подписи с аутентификацией DKIM должен быть сопоставлен с доменом электронной почты в поле
From
. См. «Выравнивание DKIM» ниже. - Электронная почта должна пройти проверку подлинности SPF (Sender Policy Framework) .
Кроме того, отправителям электронной почты рекомендуется использовать политику проверки подлинности, отчетности и соответствия сообщений на основе домена (DMARC) , в которой установлено значение «поместить в quarantine
или reject
. Это может быть введено в действие в будущем.
DKIM, SPF и DMARC отображаются в виде отдельных строк в пункте меню «Показать оригинал» в Gmail Web. Дополнительную информацию см. в разделе «Проверка подлинности вашего сообщения Gmail» .
Выравнивание DKIM
Чтобы аутентификация DKIM считалась «согласованной», организационный домен хотя бы одного подписывающего домена с аутентификацией DKIM должен совпадать с организационным доменом адреса электронной почты в заголовке From
. Это эквивалентно смягченному выравниванию идентификатора DKIM, как определено в спецификации DMARC, RFC7489, раздел 3.1.1 .
Домен организации определен в разделе 3.2 RFC7489 и также называется частью домена «eTLD+1». Например, домен foo.bar.example.com
имеет example.com
в качестве организационного домена .
Домен подписи с аутентификацией DKIM относится к значению тега d=
подписи DKIM.
Например, если проверенная подпись DKIM успешно проверяется с помощью d=foo.example.com
, то bar@foo.example.com
, foo@example.com
и foo@bar.example.com
будут считаться выровненными, если они присутствуют в From
заголовка, а user@gmail.com
— нет, поскольку gmail.com
не соответствует example.com
.
TLS-шифрование
Чтобы гарантировать, что содержимое электронного письма AMP зашифровано при передаче, вы должны шифровать электронные письма, содержащие AMP, с помощью TLS .
Значок в Gmail указывает, было ли электронное письмо отправлено с шифрованием TLS. Дополнительную информацию см . в разделе «Проверьте, зашифровано ли полученное вами сообщение» .
HTTP-прокси
Все XMLHttpRequests (XHR), исходящие из электронного письма AMP, передаются через прокси. Это сделано для защиты конфиденциальности пользователя.
CORS-заголовки
Все конечные точки сервера, используемые amp-list
и amp-form
должны реализовать CORS в AMP для электронной почты и правильно установить HTTP-заголовок AMP-Email-Allow-Sender
.
Ограничения
Ниже описаны дополнительные ограничения URL-адресов.
Перенаправления
URL-адреса XHR не должны использовать перенаправление HTTP. Запросы, возвращающие код состояния из класса перенаправления (диапазон 3XX
), например 302 Found
или 308 Permanent Redirect
, завершаются неудачей, что приводит к появлению предупреждающего сообщения в консоли браузера.
Чтобы обеспечить безопасность и конфиденциальность пользователей, к динамическим электронным письмам применяются дополнительные требования и ограничения безопасности.
Аутентификация отправителя
Чтобы убедиться, что отправитель электронного письма AMP является законным, электронные письма, содержащие AMP, подлежат следующим проверкам:
- Электронная почта должна пройти проверку подлинности почты, идентифицируемой ключами домена (DKIM) .
- Домен подписи с аутентификацией DKIM должен быть сопоставлен с доменом электронной почты в поле
From
. См. «Выравнивание DKIM» ниже. - Электронная почта должна пройти проверку подлинности SPF (Sender Policy Framework) .
Кроме того, отправителям электронной почты рекомендуется использовать политику проверки подлинности, отчетности и соответствия сообщений на основе домена (DMARC) , в которой установлено значение «поместить в quarantine
или reject
. Это может быть введено в действие в будущем.
DKIM, SPF и DMARC отображаются в виде отдельных строк в пункте меню «Показать оригинал» в Gmail Web. Дополнительную информацию см. в разделе «Проверка подлинности вашего сообщения Gmail» .
Выравнивание DKIM
Чтобы аутентификация DKIM считалась «согласованной», организационный домен хотя бы одного подписывающего домена с аутентификацией DKIM должен совпадать с организационным доменом адреса электронной почты в заголовке From
. Это эквивалентно смягченному выравниванию идентификатора DKIM, как определено в спецификации DMARC, RFC7489, раздел 3.1.1 .
Домен организации определен в разделе 3.2 RFC7489 и также называется частью домена «eTLD+1». Например, домен foo.bar.example.com
имеет example.com
в качестве организационного домена .
Домен подписи с аутентификацией DKIM относится к значению тега d=
подписи DKIM.
Например, если проверенная подпись DKIM успешно проверяется с помощью d=foo.example.com
, то bar@foo.example.com
, foo@example.com
и foo@bar.example.com
будут считаться выровненными, если они присутствуют в From
заголовка, а user@gmail.com
— нет, поскольку gmail.com
не соответствует example.com
.
TLS-шифрование
Чтобы обеспечить шифрование содержимого электронного письма AMP при передаче, вы должны шифровать электронные письма, содержащие AMP, с помощью TLS .
Значок в Gmail указывает, было ли электронное письмо отправлено с шифрованием TLS. Дополнительную информацию см . в разделе «Проверьте, зашифровано ли полученное вами сообщение» .
HTTP-прокси
Все XMLHttpRequests (XHR), исходящие из электронного письма AMP, передаются через прокси. Это сделано для защиты конфиденциальности пользователя.
CORS-заголовки
Все конечные точки сервера, используемые amp-list
и amp-form
должны реализовать CORS в AMP для электронной почты и правильно установить HTTP-заголовок AMP-Email-Allow-Sender
.
Ограничения
Ниже описаны дополнительные ограничения URL-адресов.
Перенаправления
URL-адреса XHR не должны использовать перенаправление HTTP. Запросы, возвращающие код состояния из класса перенаправления (диапазон 3XX
), например 302 Found
или 308 Permanent Redirect
, завершаются неудачей, что приводит к появлению предупреждающего сообщения в консоли браузера.