EDIÇÃO FINAL: Eu estava completamente errado sobre o DKIM, parece que o domínio de assinatura não precisa ser o mesmo que o domínio do remetente, portanto, toda a premissa da minha pergunta é falha. Muito obrigado a Paul por apontar meu erro!
Pergunta original abaixo:
Tentei ler sobre SPF e DKIM, mas não entendo o objetivo de usar os dois ao mesmo tempo, pelo menos no contexto de combate ao spam (endereços de remetente forjados, que podem resultar em meu servidor/domínio de e-mail na lista negra ). Tanto quanto eu posso entender, o DKIM sozinho deve fazer o trabalho que o SPF deveria fazer.
Meu entendimento até agora é o seguinte:
- Ao enviar um e-mail, o remetente pode reivindicar o que quiser (por exemplo, endereço de remetente falso)
- O DKIM permite detectar um endereço de e-mail de remetente falso, pois você pode verificar a assinatura DKIM em relação à chave pública no registro TXT do DNS.
- O SPF permite verificar se o email foi enviado de um servidor de email autorizado a enviar emails para um determinado endereço de remetente.
O que eu não entendo é o seguinte: a menos que a chave privada DKIM tenha sido comprometida de alguma forma, a verificação DKIM por si só deve ser suficiente para verificar se o email foi enviado de um servidor de email autorizado, porque, caso contrário, o servidor de email não teria a chave privada para assinar o e-mail.
Eu vi a resposta para uma pergunta muito semelhante aqui: https://serverfault.com/a/780248/154775 , nele o autor afirma que o DKIM não pode impedir ataques de repetição. Eu vou admitir esse ponto, mas acho que é um caso de canto, o maior problema na minha opinião é o spam com endereços de remetentes falsos - o DKIM deve evitar isso facilmente por conta própria.
Existe um cenário além dos ataques de repetição em que o SPF fornece proteção adicional em comparação com apenas o DKIM?
EDIT: Eu marquei o núcleo da minha pergunta em negrito para esclarecer o que exatamente eu quero uma resposta.