Требования безопасности

Чтобы обеспечить безопасность и конфиденциальность пользователей, к динамическим электронным письмам применяются дополнительные требования и ограничения безопасности.

Аутентификация отправителя

Чтобы убедиться, что отправитель электронного письма AMP является законным, электронные письма, содержащие AMP, подлежат следующим проверкам:

Кроме того, отправителям электронной почты рекомендуется использовать политику проверки подлинности, отчетности и соответствия сообщений на основе домена (DMARC) , в которой установлено значение «поместить в quarantine или reject . Это может быть введено в действие в будущем.

DKIM, SPF и DMARC отображаются в виде отдельных строк в пункте меню «Показать оригинал» в Gmail Web. Дополнительную информацию см. в разделе «Проверка подлинности вашего сообщения Gmail» .

Выравнивание DKIM

Чтобы аутентификация DKIM считалась «согласованной», организационный домен хотя бы одного подписывающего домена с аутентификацией DKIM должен совпадать с организационным доменом адреса электронной почты в заголовке From . Это эквивалентно смягченному выравниванию идентификатора DKIM, как определено в спецификации DMARC, RFC7489, раздел 3.1.1 .

Домен организации определен в разделе 3.2 RFC7489 и также называется частью домена «eTLD+1». Например, домен foo.bar.example.com имеет example.com в качестве организационного домена .

Домен подписи с аутентификацией DKIM относится к значению тега d= подписи DKIM.

Например, если проверенная подпись DKIM успешно проверяется с помощью d=foo.example.com , то bar@foo.example.com , foo@example.com и foo@bar.example.com будут считаться выровненными, если они присутствуют в From заголовка, а user@gmail.com — нет, поскольку gmail.com не соответствует example.com .

TLS-шифрование

Чтобы гарантировать, что содержимое электронного письма AMP зашифровано при передаче, вы должны шифровать электронные письма, содержащие AMP, с помощью TLS .

Значок в Gmail указывает, было ли электронное письмо отправлено с шифрованием TLS. Дополнительную информацию см . в разделе «Проверьте, зашифровано ли полученное вами сообщение» .

HTTP-прокси

Все XMLHttpRequests (XHR), исходящие из электронного письма AMP, передаются через прокси. Это сделано для защиты конфиденциальности пользователя.

CORS-заголовки

Все конечные точки сервера, используемые amp-list и amp-form должны реализовать CORS в AMP для электронной почты и правильно установить HTTP-заголовок AMP-Email-Allow-Sender .

Ограничения

Ниже описаны дополнительные ограничения URL-адресов.

Перенаправления

URL-адреса XHR не должны использовать перенаправление HTTP. Запросы, возвращающие код состояния из класса перенаправления (диапазон 3XX ), например 302 Found или 308 Permanent Redirect , завершаются неудачей, что приводит к появлению предупреждающего сообщения в консоли браузера.

,

Чтобы обеспечить безопасность и конфиденциальность пользователей, к динамическим электронным письмам применяются дополнительные требования и ограничения безопасности.

Аутентификация отправителя

Чтобы убедиться, что отправитель электронного письма AMP является законным, электронные письма, содержащие AMP, подлежат следующим проверкам:

Кроме того, отправителям электронной почты рекомендуется использовать политику проверки подлинности, отчетности и соответствия сообщений на основе домена (DMARC) , в которой установлено значение «поместить в quarantine или reject . Это может быть введено в действие в будущем.

DKIM, SPF и DMARC отображаются в виде отдельных строк в пункте меню «Показать оригинал» в Gmail Web. Дополнительную информацию см. в разделе «Проверка подлинности вашего сообщения Gmail» .

Выравнивание DKIM

Чтобы аутентификация DKIM считалась «согласованной», организационный домен хотя бы одного подписывающего домена с аутентификацией DKIM должен совпадать с организационным доменом адреса электронной почты в заголовке From . Это эквивалентно смягченному выравниванию идентификатора DKIM, как определено в спецификации DMARC, RFC7489, раздел 3.1.1 .

Домен организации определен в разделе 3.2 RFC7489 и также называется частью домена «eTLD+1». Например, домен foo.bar.example.com имеет example.com в качестве организационного домена .

Домен подписи с аутентификацией DKIM относится к значению тега d= подписи DKIM.

Например, если проверенная подпись DKIM успешно проверяется с помощью d=foo.example.com , то bar@foo.example.com , foo@example.com и foo@bar.example.com будут считаться выровненными, если они присутствуют в From заголовка, а user@gmail.com — нет, поскольку gmail.com не соответствует example.com .

TLS-шифрование

Чтобы обеспечить шифрование содержимого электронного письма AMP при передаче, вы должны шифровать электронные письма, содержащие AMP, с помощью TLS .

Значок в Gmail указывает, было ли электронное письмо отправлено с шифрованием TLS. Дополнительную информацию см . в разделе «Проверьте, зашифровано ли полученное вами сообщение» .

HTTP-прокси

Все XMLHttpRequests (XHR), исходящие из электронного письма AMP, передаются через прокси. Это сделано для защиты конфиденциальности пользователя.

CORS-заголовки

Все конечные точки сервера, используемые amp-list и amp-form должны реализовать CORS в AMP для электронной почты и правильно установить HTTP-заголовок AMP-Email-Allow-Sender .

Ограничения

Ниже описаны дополнительные ограничения URL-адресов.

Перенаправления

URL-адреса XHR не должны использовать перенаправление HTTP. Запросы, возвращающие код состояния из класса перенаправления (диапазон 3XX ), например 302 Found или 308 Permanent Redirect , завершаются неудачей, что приводит к появлению предупреждающего сообщения в консоли браузера.