Dlaczego miałbym wybrać prosty, ponad zrelaksowany proces kanonizacji dla DKIM?

Question

DKIM obsługuje dwa schematy kanonizacji: spokojny i prosty. Pierwsza z nich jest łagodniejsza i umożliwia redystrybucjom wiadomości e-mail modyfikowanie wiadomości e-mail w ograniczonym stopniu.

Jedyne dane, jakie mogłem znaleźć to survey of implementations, które pokazują ogromną większość nadawców wiadomości e-mail z wykorzystaniem luźnej kanonizacji zarówno dla nagłówków, jak i treści. (Zauważalne, że mniej użycia jest zrelaksowane dla ciała, ale nadal jest zdecydowaną większością.)

Specyfikacja DKIM mówi, że wszyscy klienci muszą obsługiwać obie formy kanonizacji, jeśli obsługują DKIM, więc nie wydaje się to istotnym czynnikiem. Oba schematy umożliwiają pośrednikom dodawanie nagłówków. Jedyne rozróżnienie, jakie mogę powiedzieć, dotyczy obsługi nazw nagłówków (nie wartości) i białych znaków w obrębie nagłówka. Biorąc to pod uwagę, wydaje się, że rozluźnienie zawsze będzie miało co najmniej tak dobre wyniki, co jest celem DKIM.

(Oczywiście, jeśli chcemy rzeczywiście znak moje e-maile w celu potwierdzenia ich treści, będę używać S/MIME i certyfikaty. DKIM jest ściśle o dostawczej, prawda?)

Answer 1

Przypuszczam, że Prosta kanonizacja jest dostępna dla nadawców, którzy chcą mieć mniej intensywne obliczeniowo metody podpisywania, przy możliwym koszcie dostarczalności. Różnica w złożoności nie jest aż tak duża, ale może oznaczać znaczącą różnicę dla dużych nadawców masowych.

Answer 2

„dobry wytłaczania, który jest celem ... DKIM DKIM jest ściśle o dostawczej, prawda?”

Wygląda na to, że masz błędne założenie. DKIM nie dotyczy wyłącznie dostarczalności. Celem DKIM jest uwierzytelnienie użytkownika , którego nadawcą jest. DKIM RFC wyjaśnia to całkiem dobrze:

DomainKeys Identified Mail (DKIM) definiuje na poziomie domeny ramy uwierzytelniania poczty elektronicznej za pomocą kryptografii z kluczem publicznym i kluczową technologię serwerów, aby umożliwić weryfikację źródła i zawartość wiadomości przez agentów przesyłania poczty (MTA) lub Mail agentów użytkownika (MUA).

Wiadomość DKIM generalnie nie jest mniej lub bardziej dostarczalna niż wiadomość niepodpisana. Na przykład SpamAssassin nadaje komunikatowi identyczny wynik dla poprawnej wiadomości podpisanej przez DKIM, jak dla niepodpisanej wiadomości. Jeśli wiadomość nie przejdzie sprawdzania poprawności DKIM, to jak można się spodziewać, dostaje gorszy wynik.

To, co zapewnia DKIM, to możliwość wiarygodnego określenia, czy rzeczywiście pochodzi wiadomość rzekomo pochodząca z Bank of America. Jeśli tak twierdzi, ale sygnatura DKIM w komunikacie nie powiedzie się, to mogę stwierdzić, że wiadomość jest fałszywa lub została naruszona prawidłowa wiadomość. W obu przypadkach nie należy go dostarczać.

Teraz, niezależnie od tego, czy chcę otrzymywać wiadomości z tej uwierzytelnionej domeny DKIM, czy treść wiadomości jest pożądana, to zupełnie inny problem, który ma znacznie głębszy wpływ na dostarczalność niż DKIM.