Door Anoniem:
Het gaat dus wel degelijk om authenticatie. Op DNS niveau heb je daarvoor DNSSEC, inderdaad een key in DNS. Maar die key is er alleen om te valideren dat je tegen de juiste DNS server praat. Het is dus een authenticatie van de DNS server, het is geen authenticatie van het betreffende bedrijf/organisatie.
DKIM werkt met een key in een DNS record. Je hebt DNSSEC nodig om zeker te weten dat je die key goed ophaalt,
maar het authenticeren van het mailtje dmv DKIM heeft niks met DNSSEC te maken, maar met de DKIM sleutel die
onder de DKIM selector in DNS is opgeslagen (dit is dus geen vaste DNS naam zoals bij SPF en DMARC).
Maar dan nog authenticeer je dus alleen het domain en niet het bedrijf. Als iemand sidn-mail.nl registreert en de hele
kermis goed optuigt dan kan hij mail versturen en dan in de body alleen praten over SIDN en dan zal het de gemiddelde
mail ontvanger niet opvallen dat dit helemaal niet van SIDN komt. Immers dit soort "ander domein voor mail" situaties
kom je overal tegen, ook bij banken enzo. SPF, DKIM en DMARC geven allemaal groene vlaggetjes,
er is een geldig certificaat, het enige wat er "opvallend" is dat is dat het een DV certificaat is. Maar dat is 99% van alle
certificaten tegenwoordig (dankzij de ontwaarding van certificaten) dus dat gaat geen bellen laten rinkelen.