DKIM 签名不匹配比根本不签名 DKIM 更糟糕吗？

根据 RFC 6376：

6.3 . 解释结果/应用当地政策

描述身份评估者可以执行的操作超出了本规范的范围，但是带有经过验证的 SDID 的邮件为身份评估者提供了未经身份验证的电子邮件没有的机会。具体来说，经过身份验证的电子邮件会创建一个可预测的标识符，通过该标识符可以可靠地管理其他决策，例如信任和声誉。相反，未经身份验证的电子邮件缺乏可用于分配信任和声誉的可靠标识符。将未经身份验证的电子邮件视为缺乏信任和没有正面声誉是合理的。

通常，使用 DKIM 验证输出的模块不应仅根据缺少任何签名或无法验证的签名来确定消息的可接受性；这种拒绝将导致严重的互操作性问题。如果 MTA 确实希望在 SMTP 会话期间拒绝此类消息（例如，在与根据事先协议同意仅发送签名消息的对等方通信时），并且签名丢失或未验证，则处理 MTA 应该使用 550/5.7.x 回复代码。

如果验证程序集成在 MTA 中并且无法获取公钥，可能是因为密钥服务器不可用，则可以使用 451/4.7.5 回复代码生成临时失败消息，例如：

451 4.7.5 无法验证签名 - 密钥服务器不可用

诸如无法访问密钥服务器或其他外部服务的临时故障是应该使用 4xx SMTP 回复代码的唯一条件。特别是，密码签名验证失败不得引发 4xx SMTP 回复。

验证签名后，必须将该信息传达给身份评估者（例如明确的允许/白名单和信誉系统）和/或最终用户。如果 SDID 与 From: 标头字段中的地址不同，邮件系统应该努力确保实际的 SDID 对读者来说是清楚的。

虽然验证失败的症状很明显——签名无法验证——但确定确切原因可能会更加困难。如果找不到选择器，是因为选择器已被删除，还是在传输过程中值以某种方式更改？如果缺少签名行，是因为它从未存在过，还是因为过分热心的过滤器将其删除？出于诊断目的，验证失败的确切原因应该提供并且可能记录在系统日志中。

因此，它可能因接收服务器配置而异，但可能大多数都不会标记为垃圾邮件，特别是如果存在有效的 SPF 和 DMARC 记录以及有效发件人的其他指标（IP 地址信誉、域信誉等）。