DKIM é sobre reputação. A partir do parágrafo de introdução do site principal (dkim.org):
DomainKeys Identified Mail (DKIM) lets an organization take responsibility for a message while it is in transit. The organization is a handler of the message, either as its originator or as an intermediary. Their reputation is the basis for evaluating whether to trust the message for delivery.
Um lugar onde você pode procurar reputação é: link
Sim, um remetente de spam pode assinar uma mensagem pelo DKIM, mas essa mensagem passa pelo SpamAssassin e recebe uma pontuação. Em seguida, você cria um banco de dados de domínios assinados e o tipo de mensagens que os domínios enviam. Se (digamos) o gmail.com continuar enviando spam, o SA saberá que aumenta o nível de spam desse domínio; se enviar mais 'ham', a SA aprenderá a confiar nesses domínios / assinaturas.
Você está correto em dizer que não é possível basear o status de spam ou de presença de uma mensagem apenas com o DKIM (pelo menos não imediatamente), mas ajuda a determinar onde a mensagem passou. Considerando que uma mensagem não assinada poderia ter teoricamente vindo de qualquer lugar, tendo seu conteúdo alterado em qualquer ponto do processo. Depois de ter pelo menos uma assinatura DKIM (e pode haver várias), você tem um ponto de dados para começar a avaliar a reputação dos relés.
O DKIM é sobre assumir a responsabilidade pelo e-mail que passa pelos seus relés. Se você não está assinando mensagens, por que os receivers se incomodam em confiar em você? Se você assinar mensagens, os servidores SMTP do destinatário poderão aprender sobre seus relés e confiar nos dados de reputação que estão coletando. Eles são apenas mais um link em uma cadeia (filtragem bayesiana, listas negras dial-up / DSL, banco de dados de conteúdo de barbear, etc.).
Para o ponto (1): os mailforwarders foram pensados no design do DKIM:
Para o ponto (2): você está correto, ainda tem verificação de spam. Mas antes você não tinha nenhum link entre um domínio e uma pontuação de spam: cada mensagem era tratada independentemente de todas as outras mensagens. Agora, você potencialmente tem algo que liga mensagens diferentes. Coloque esse link comum em um banco de dados e você pode começar a fazer análises nele.