office check email dkim

email - check - ¿Por qué elegiría la canonicalización simple sobre la relajada para DKIM?



dkim zimbra (2)

Supongo que la canonicalización simple está disponible como una opción para los remitentes que desean tener un método de firma menos intensivo desde el punto de vista computacional, al posible costo de alguna capacidad de entrega. La diferencia en complejidad no es mucho, pero podría hacer una diferencia apreciable para los grandes remitentes en masa.

DKIM admite dos esquemas de canonización: relajado y simple. El primero es más indulgente y permite que los remitentes intermedios modifiquen el correo electrónico en un grado limitado.

La única información que pude encontrar es una encuesta de implementaciones que muestra que la gran mayoría de los remitentes de correo electrónico utilizan una canonicalización relajada tanto para el encabezado como para el cuerpo. (Notable menos uso relajado para el cuerpo, pero todavía es una mayoría definida).

La especificación DKIM dice que todos los clientes deben admitir ambas formas de canonización si son compatibles con DKIM, por lo que no parece ser un factor importante. Ambos esquemas permiten a los intermediarios agregar encabezados. La única distinción que puedo decir es en el manejo del caso de los nombres de encabezado (no de los valores) y el espacio en blanco dentro de un encabezado. Dado que, parece que relajado siempre tendrá al menos tan buena capacidad de entrega, que es el objetivo de DKIM.

(Por supuesto, si realmente quiero firmar mis correos electrónicos para dar fe de sus contenidos, usaría S / MIME y certificados. DKIM es estrictamente sobre entregabilidad, ¿no?)

"buena capacidad de entrega, que es el objetivo de DKIM ... DKIM es estrictamente sobre entregabilidad, ¿verdad?"

Parece que tienes una premisa defectuosa. DKIM no se trata estrictamente de entregabilidad. El propósito de DKIM es autenticar quién es un remitente. El DKIM RFC lo explica bastante bien:

DomainKeys Identified Mail (DKIM) define un marco de autenticación de dominio para correo electrónico utilizando criptografía de clave pública y tecnología de servidor de claves para permitir la verificación de la fuente y el contenido de mensajes por Agentes de transferencia de correo (MTA) o Agentes de usuario de correo (MUA).

Un mensaje DKIM generalmente no es más o menos entregable que un mensaje sin firmar. Por ejemplo, SpamAssassin le da a un mensaje un puntaje idéntico para un mensaje firmado DKIM válido como para un mensaje sin firmar. Si el mensaje falla la validación de DKIM, entonces, como era de esperar, obtiene una puntuación peor.

Lo que DKIM proporciona es la capacidad de determinar de manera confiable si realmente es un mensaje que pretende ser de Bank of America. Si así lo afirma, pero la firma DKIM en el mensaje no se valida, entonces puedo saber que el mensaje es una falsificación o un mensaje legítimo que se ha manipulado. En cualquier caso, no debe ser entregado.

Ahora bien, si quiero recibir o no mensajes de ese dominio autenticado por DKIM, y si el contenido del mensaje es deseable o no, es un problema totalmente diferente, y eso tiene un impacto mucho más profundo sobre la capacidad de entrega que DKIM.