Per garantire la sicurezza e la privacy degli utenti, le email dinamiche sono soggette a requisiti e limitazioni di sicurezza aggiuntivi.
Autenticazione mittente
Per garantire che il mittente di un'email AMP sia legittimo, le email contenenti AMP sono soggette ai seguenti controlli:
- L'email deve superare l'autenticazione DKIM (Domain Keys Identified Mail).
- Il dominio di firma autenticato tramite DKIM deve essere allineato al dominio dell'email nel campo
From
. Consulta la sezione Allineamento DKIM di seguito. - L'email deve superare l'autenticazione SPF (Sender Policy Framework).
Inoltre, consigliamo ai mittenti di email di utilizzare un criterio DMARC (Domain-based Message Authentication, Reporting and Conformance) con l'impostazione di disposizione su quarantine
o reject
. Questa misura potrebbe essere applicata in futuro.
DKIM, SPF e DMARC vengono visualizzati come righe separate all'interno dell'opzione di menu "Mostra originale" in Gmail Web. Per ulteriori informazioni, consulta Controllare l'autenticazione dei messaggi di Gmail.
Allineamento DKIM
Affinché l'autenticazione DKIM sia considerata "in linea", il dominio dell'organizzazione di almeno un dominio di firma autenticato tramite DKIM deve corrispondere al dominio dell'organizzazione dell'indirizzo email nell'intestazione From
. Questo è equivalente all'allineamento dell'identificatore DKIM rilassato come definito nella specifica DMARC, sezione 3.1.1 del documento RFC7489.
Il dominio dell'organizzazione è definito nella sezione 3.2 del documento RFC7489
e viene indicato anche come parte "eTLD+1" del dominio. Ad esempio, il dominio foo.bar.example.com
ha example.com
come dominio dell'organizzazione.
Per dominio di firma autenticato con DKIM si intende il valore del tag d=
della firma DKIM.
Ad esempio, se una firma DKIM convalidata viene verificata correttamente con
d=foo.example.com
, [email protected]
, [email protected]
e
[email protected]
verrebbero considerati allineati se presenti nell'intestazione From
mentre [email protected]
no, poiché gmail.com
non corrisponde
example.com
.
Crittografia TLS
Per assicurarti che i contenuti di un'email AMP vengano criptati durante il transito, devi criptare con TLS le email contenenti AMP.
Un'icona in Gmail indica se un'email è stata inviata con crittografia TLS. Per saperne di più, consulta Verificare la crittografia dei messaggi ricevuti.
Proxy HTTP
Tutte le XMLHttpRequests (XHR) che provengono da un'email AMP vengono sottoposte a proxy. Ciò avviene allo scopo di proteggere la privacy dell'utente.
Intestazioni CORS
Tutti gli endpoint del server utilizzati da amp-list
e amp-form
devono implementare
CORS in AMP per l'email
e impostare correttamente l'intestazione HTTP AMP-Email-Allow-Sender
.
Restrizioni
Di seguito sono descritte ulteriori limitazioni relative agli URL.
Reindirizzamenti
Gli URL XHR non devono utilizzare il reindirizzamento HTTP. Le richieste che restituiscono un codice di stato della classe di reindirizzamento (intervallo 3XX
), ad esempio 302 Found
o 308 Permanent Redirect
, non vanno a buon fine e generano un messaggio di avviso nella console del browser.