Pour résumé en très simple, le fait que Google et d’autres services d’envois de courriels ne publient pas la clef privée pour DKIM (Domain Keys Identified Mail) après chaque changement permet ainsi de continuer de vérifier l’authenticité des courriels bien des années après leurs envois.
Pour rappel, le but d’origine de DKIM est de permettre de vérifier l’authenticité de la source du courriel lors de sa réception, une solution contre le spam.

Sauf que si un courriel peut être authentifié bien des années après, les utilisateurs peuvent être victimes « d’extorsion et de chantage » lorsque leurs courriels auront été volés par n’importe quel moyen.
De plus, il se peut qu’au bout de plusieurs années, même si la clef DKIM a été changée de nombreuses fois, que des personnes malveillantes arrivent à recréer la clef privée utilisée légitiment à un moment donnée. Et ainsi, ils pourront forger de nouveaux courriels postdatés, qui ainsi seront authentiques aux yeux des personnes qui souhaitent vérifier.
Donner ainsi la clef privée permettra de pouvoir nier l’authenticité d’un courriel, ne laissant le rôle de vérification de DKIM qu’au moment de la transmission.

Pour ceux qui souhaitent continuer de garantir l’authenticité de leurs courriels, ils peuvent utiliser des outils dédiés pour, comme GnuPG, de leur plein gré, et non de façon implicite choisie uniquement par leurs hébergeurs ou le service envoyeur.

Du coup, j’ai aussi du boulot à faire de mon côté …