2.40a リリース時に少し触れましたが、DKIM の実装を行っています。

ぶっちゃけていうと、何年も前から実装は行っているのですが、どうしても気が乗らず８割位でずっと放置したままでしたが、一応動く所までは実装が終わりました。
と言ってもまだサーバー本体に組み込みまではできていませんが・・・



割と近いバージョンで使えるようにはするのですが、本機能については以下のようになります。

１）正規化は simple のみ Ralaxed はとりあえず実装しません。（Relaxed って意味あるの？）

２）当面の間、送信側のみです。受信した際の検証（ベリファイ）はしません。

３）証明書等は OpenSSL で作成して下さい。
（マニュアルは作ります。秘密鍵・公開鍵だけなので OpenSSL インストール含め５分で作成できます。）

４）当面の間、製品版にも実装されますがベータ機能扱いになります。

なんとも何年も放置した上で中途半端な実装になりますが、未だになんの価値があるかがわかりません・・・

確かに、改竄防止になるのはわかるのですが、それだけなんですよ。
最近のフィッシングメールや迷惑メールは、ヒューマンエラーを狙った物が多いので（うっかり URL をクリックした。飛んだ先が偽装サイトだった等）「spam サーバーが DKIM できちんと署名していたら通る」んですよね。

改竄防止自体は良いのですが、それを迷惑メールの判定に使っているというのがよくわかりません。

例えば、最近来た spam メールなのですが、ヘッダーに

DKIM-Signature: v=1; a=rsa-sha256; q=DNS/txt;
c=relaxed/relaxed;
d=bairdbyronhg0.mbsrv.net; s=default;
h=Content-Type:MIME-Version:Date: (省略)
Sender:account-update@amazon.co.jp
From: Amazon.co.jp

なんてあるのですが、DKIM は PASS します。

で、これを nslookup で確認しますと

（DKIM-Signature の s= (セレクタ）と _domainkey と d を繋げて default._domainkey.bairdbyronhg0.mbsrv.net を TXT で参照）

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w (省略)

出てきます。
ちゃんと DKIM の公開鍵を設定しているからです。

送信側も秘密鍵で署名している為、当然 DKIM は「改竄されていないから PASS です。」

中身はフィッシングサイトへの誘導ですけどね。(笑)

なんとも中途半端な仕様なんですよ、DKIM というのは。

例えば「to: from: Subject: Sender: Return-path: は必須項目で必ずヘッダーに含める必要があり、且つ、sender: と接続時の FQDN の比較を行った上で判定を行う」などが必須項目である位まで定義されていれば価値がわからんでも無いのですが、これだと大規模サーバーの場合問題が多いんですよね。特に FQDN との比較が。

でもまぁ、世の中の流れが DKIM も迷惑メールの判定に使うよ。ということらしいので、ひとまず送信側の署名だけ実装しておこうと思った訳です。

しかし、サーバー側のコストがかかる割にはメリットが少ない機能ですね。（正規化や署名も CPU パワーやメモリを使うんですよ。不思議とそこを意識しない人が多いのですが）