But is that actually the case?
Sim.
In the real world can I just sign EVERYTHING with our key (without doing SRS) and be happy?
Sim. É freqüentemente feito sem efeito negativo. Alguns MTAs não são inteligentes o bastante para assinar mensagens com chaves DKIM por domínio e podem operar apenas como você descreveu, assinando tudo com uma única chave. Eu modifiquei pessoalmente dois MTAs para adicionar suporte de assinatura DKIM por domínio.
As mensagens de e-mail geralmente têm vários cabeçalhos de assinatura DKIM enquanto transitam pela Internet. Não é incomum para um MTA de uma organização assinar mensagens de DKIM e, em seguida, retransmiti-las para um host inteligente em seu ISP que também o DKIM assina a mensagem. Um destinatário dessa mensagem verá as duas assinaturas DKIM.
TLDR;
DKIM = Mail identificado pelo DomainKeys. Quando um receptor valida uma assinatura DKIM, eles estão meramente autenticando a identidade do remetente das mensagens. Por exemplo, se uma mensagem de e-mail tiver um cabeçalho DKIM-Signature e uma propriedade ad = example.com e a assinatura DKIM passar na validação, o destinatário pode confiar que a mensagem foi enviada por uma organização isso:
- tem controle do DNS para example.com
- possuía a chave privada DKIM para example.com
- a mensagem não foi adulterada em trânsito
Isso vale para o número de cabeçalhos de assinatura DKIM que a mensagem tem.
Praticamente ninguém rejeita e-mails com base em assinaturas DKIM com falha. Não sendo possível recuperar os domínios, a chave pública DKIM conta como uma falha. Uma porcentagem significativa de fluxos de e-mail válidos quebrou assinaturas DKIM, especialmente em mensagens que transitaram uma lista de e-mails.
O DMARC não altera o DKIM. Em absoluto. DMARC = Autenticação de Mensagem com Base no Domínio, Relatórios & Conformidade . O DMARC é um mecanismo para autenticar o domínio de envio de uma mensagem de email, conforme exibido no cabeçalho De da mensagem. O DMARC é mais eficaz no combate ao phishing, pois fornece aos remetentes de e-mail meios confiáveis para dizer: "se o remetente da mensagem não estiver alinhado com nosso domínio (SPF) ou o cabeçalho da mensagem" De "não é DKIM alinhado com o nosso domínio, então a mensagem não foi enviada por nós e você deve (rejeitar | quarentena | passar). " O DMARC também fornece ótimos recursos de relatório para proprietários de domínios. DMARC é comumente usado por organizações (bancos, grandes provedores de e-mail, etc.) que os malfeitores têm incentivos para se passarem.
O DMARC é, portanto, uma camada de política sobre o DKIM e o SPF. Quando o DMARC está em uso, ele impõe requisitos de alinhamento adicionais ao DKIM e ao SPF para passar a validação do DMARC. Somente as assinaturas DKIM que passam e possuem uma propriedade d = que se alinha com as mensagens do cabeçalho podem gerar um resultado de passagem DMARC. Cada chave DKIM ainda pode passar ou falhar na validação do DKIM, e as conseqüências não são diferentes para o DKIM antes ou depois do DMARC.