Perché dovrei scegliere una canonicalizzazione semplice e rilassata per DKIM?

Question

DKIM supporta due schemi di canonicalizzazione: rilassato e semplice. Il primo è più indulgente e consente ai mailer intermedi di modificare l'email in misura limitata.

L'unico dato che ho trovato è uno survey of implementations che mostra la stragrande maggioranza dei mittenti di posta elettronica utilizzando la canonicalizzazione rilassata sia per le intestazioni che per il corpo. (Notevole uso di meno per il corpo, ma è ancora una maggioranza definitiva)

La specifica DKIM dice che tutti i client devono supportare entrambi i moduli di canonicalizzazione se supportano DKIM, quindi non sembra un fattore importante. Entrambi i regimi consentono agli intermediari di aggiungere intestazioni. L'unica distinzione che posso dire è nella gestione del caso di nomi di intestazione (non valori) e dello spazio bianco all'interno di un'intestazione. Detto questo, sembra che il rilassato avrà sempre una buona deliverability, che è lo scopo di DKIM.

(Naturalmente, se voglio davvero segno mie e-mail per attestare il loro contenuto, mi piacerebbe utilizzare S/MIME e certificati. DKIM è rigorosamente su deliverability, giusto?)

Answer 1

Suppongo che la semplice canonicalizzazione è disponibile come scelta per i mittenti che desiderano avere un metodo di firma meno intenso dal punto di vista computazionale, al costo possibile di una certa deliverability. La differenza di complessità non è molto, ma potrebbe fare una differenza apprezzabile per i mittenti di grandi dimensioni.

Answer 2

"buona deliverability, che è l'obiettivo di DKIM ... DKIM è strettamente relativo alla deliverability, giusto?"

Sembra che tu abbia una premessa difettosa. DKIM non riguarda strettamente la deliverability. Lo scopo di DKIM è quello di autenticare chi è un mittente è. Il DKIM RFC spiega abbastanza bene:

DomainKeys Identified Mail (DKIM) definisce un framework di autenticazione a livello di dominio della posta elettronica tramite crittografia a chiave pubblica e tecnologia server chiave per consentire la verifica della sorgente e contenuto dei messaggi da Mail Transfer Agents (MTA) o Mail User Agents (MUAs).

Un messaggio DKIM in genere non è più o meno disponibile di un messaggio non firmato. Ad esempio, SpamAssassin fornisce a un messaggio un punteggio identico per un messaggio firmato DKIM valido come per un messaggio non firmato. Se il messaggio non supera la convalida DKIM, allora come previsto, ottiene un punteggio peggiore.

Ciò che DKIM fornisce è la capacità di determinare in modo affidabile se un messaggio che si presume essere effettivamente Bank of America. Se afferma di sì, ma la firma DKIM nel messaggio fallisce la convalida, allora posso sapere che il messaggio è un falso o un messaggio legittimo che è stato manomesso. In entrambi i casi, non dovrebbe essere consegnato.

Ora, se desidero ricevere o meno messaggi da tale dominio autenticato DKIM e se il contenuto del messaggio è desiderabile o meno è un problema completamente diverso e ha un impatto molto più profondo sulla deliverability rispetto a DKIM.