DKIM no proporciona ningún repudio ni confidencialidad como PGP/GPG o S / MIME . Es principalmente un medio de autenticación del originador del mensaje ( muy probablemente en el dominio / empresa nivel y no individual ), y (que yo sepa) el uso más práctico es principalmente para prevenir el spam / phishing.
El alcance de la firma DKIM no necesariamente cubrirá todo el cuerpo del mensaje, sino principalmente los encabezados y partes del cuerpo.
"Solo los mensajes de texto sin formato escritos en us-ascii, siempre que los campos del encabezado MIME no estén firmados, [13] disfrutan de la solidez que requiere la integridad de extremo a extremo". fuente
En la mayoría de las configuraciones típicas, DKIM es por dominio, y todos los usuarios comparten la misma clave pública para firmar mensajes. La identidad del firmante no está necesariamente vinculada a la del autor del mensaje . Esto significa que cualquier persona con acceso para enviar correos electrónicos en el dominio puede generar mensajes firmados por DKIM. Por ejemplo, si un malware reside en la computadora de un usuario y puede enviar correos electrónicos desde su buzón, y si el correo está firmado por DKIM en el servidor de correo (lo cual es bastante común), el correo electrónico tendrá una firma DKIM válida .
Sin embargo, cuando se trata del no repudio, la expectativa es que en la mayoría de los casos la persona (humana) real es la única en posesión de la clave privada utilizada para firmar el mensaje, y en tales casos se puede vincular nuevamente. a esta persona. El no repudio es muy complicado debido a los muchos factores que rodean la "propiedad" de la clave privada y la capacidad de la persona para argumentar que esta posesión estaba de alguna manera comprometida (sin embargo, es una pequeña digresión).
El reenvío es otra posibilidad contra la que DKIM no protege completamente (vea la misma entrada de wikipedia )
Puede leer más sobre las limitaciones y el posible uso indebido de DKIM en la sección de seguridad , así como en las Preguntas frecuentes: ¿Qué no hace DKIM
Por lo tanto, para tratar más específicamente de responder a sus preguntas (aunque es posible que se requiera alguna aclaración, porque no estoy muy seguro de lo que pregunta muy específicamente):
-
Comprobando que se originó en su dominio, con cierto grado de certeza, sí. DKIM está destinado principalmente a proporcionar eso. Todavía existe la posibilidad de que alguien haya pirateado su DNS e inyectado sus propias claves DKIM y, por supuesto, haya falsificado un mensaje ...
-
¿Cómo comunicarle esto a su usuario? No estoy seguro de qué es esto ... Espero que mi respuesta le brinde más claridad acerca de DKIM para poder responder a eso usted mismo ahora.
-
En relación con el artículo, es difícil saber cuál podría ser su principal preocupación. Si se roban correos electrónicos al piratear un servidor, entonces se trata más bien de en quién confías: ¿los piratas informáticos que hicieron esto o las personas que fueron pirateadas? ¿Quién tiene una mayor motivación para mentirte o engañarte sobre esto? Los correos electrónicos pueden ser legítimos, sin alterar la versión, o pueden ser alterados. En este último caso, es justo suponer que los hackers que recibieron los correos electrónicos en primer lugar también podrían falsificar la firma. La clave de firma probablemente se almacenará en el servidor de correo, lo que permitirá a los hackers firmar cualquier mensaje que deseen ...