3.11 Relationship between SDID and AUID (SDID 与 AUID 的关系)

3.11. Relationship between SDID and AUID (SDID 与 AUID 的关系)

DKIM 的主要任务是从 Signer 向接收方的 Identity Assessor (身份评估者) 传达一个 Signing Domain Identifier (签名域标识符, SDID), 该标识符指向一个负责的身份。DKIM 可以可选地提供一个负责的 Agent or User Identifier (代理或用户标识符, AUID)。

因此, DKIM 对接收方 Identity Assessor 的强制输出是单个域名。在其作为 DKIM 输出的使用范围内, 该名称仅具有基本的域名语义; 任何可能的所有者特定语义都在 DKIM 的范围之外。也就是说, 在其作为 DKIM 标识符的角色中, Identity Assessor 不能假设额外的语义。

成功验证签名后, 接收方 DKIM Verifier 必须将 Signing Domain Identifier (d=) 传达给消费 Identity Assessor 模块, 并且如果存在 Agent or User Identifier (i=), 则可以传达该标识符。

在接收方尝试为任一标识符推断任何结构化语义的程度上, 这是一个启发式函数, 超出了 DKIM 规范和语义的范围。因此, 它被委托给更高级别的服务, 例如集成各种输入并对其执行启发式分析的传递处理过滤器。

信息性讨论: 本文档不要求 SDID 或 AUID 的值与任何其他消息头字段中的标识符匹配。相反, 这是 Assessor 策略问题。此类链接的目的是验证另一个头字段中的值。这反过来又是根据标识符值应用信任评估的基础。信任是一个广泛而复杂的主题, 信任机制容易受到高度创造性的攻击。除了最基本的 SDID 或 AUID 与其他身份之间的绑定之外, 任何其他绑定的真实世界有效性尚未得到很好的确立, 其对攻击者颠覆的脆弱性也未得到很好的确立。因此, 对使用此类绑定的依赖应严格限制。特别是, 典型的最终用户接收者能够在多大程度上依赖成功使用 SDID 或 AUID 可能提供的任何保证, 这一点根本不清楚。