
في هذه السلسلة، رأينا كيف أن تضمين توقيع S/MIME عملية بسيطة إلى حد ما. إرسال بريد مشفر باستخدام S/MIME أكثر تعقيدًا لأنه يتطلب الحصول على المفاتيح العامة للمستلمين. الأمر بسيط عندما تستخدم عميل بريد إلكتروني للبشر مثل Thunderbird – ولكن كيف يمكن أن يعمل ذلك مع تدفقات البريد الإلكتروني المولدة بواسطة التطبيقات؟
في الجزء 1، قمنا بجولة سريعة في S/MIME، وتنظر في توقيع وتشفير تدفقات رسائلنا عبر مجموعة من عملاء البريد. الجزء 2 أخذنا من خلال أداة بسيطة لتوقيع وتشفير البريد الإلكتروني، ثم إرسالها عبر SparkPost. الجزء 3 أظهر كيفية إدخال تدفقات البريد الآمنة إلى المنصات المحلية مثل Port25 PowerMTA وMomentum.
في هذه السلسلة، رأينا كيف أن تضمين توقيع S/MIME أمر سهل إلى حد ما. إرسال البريد المشفر بتنسيق S/MIME أكثر تعقيدًا لأنك تحتاج إلى الحصول على المفاتيح العامة للمستلمين. إنه شيء عندما تستخدم عميل بريد إلكتروني للبشر مثل Thunderbird – ولكن كيف يعمل ذلك مع تدفقات البريد الإلكتروني المولدة من التطبيق؟
ولكن انتظر – هناك طريقة أخرى للوصول إلى Mordor للحصول على هذه المفاتيح. يمكن لخدمتك دعوة عملائك (عبر البريد الإلكتروني، بالطبع) لإرسال بريد موقع إليك إلى عنوان معروف لخدمة العملاء. باستخدام القوى السحرية لـ SparkPost Inbound Relay webhooks، سنقوم باستخراج وتخزين هذا المفتاح العام للاستخدام.
يمكننا تلخيص ذلك في حالة استخدام بسيطة:
بصفتي مستلمًا للرسائل، أزود خدمتك بتوقيعي الشخصي عبر البريد الإلكتروني، بحيث يمكن إرسال الرسائل إلي في المستقبل بتنسيق S/MIME مشفر.
من هذا، دعنا نستخلص بعض المتطلبات الأكثر تفصيلاً:
نحتاج إلى خدمة بريد إلكتروني واردة دائمة وموثوقة لاستقبال تلك الرسائل الموقعة.
لا ينبغي أن تكون هناك متطلبات خاصة على تنسيق البريد، بخلاف أنه يجب أن يحمل توقيع S/MIME.
نظرًا لأنه يمكن لأي شخص محاولة إرسال بريد إلى هذه الخدمة، يجب تصميمه بشكل دفاعي، على سبيل المثال، لرفض الرسائل "المزيفة" من الجهات الفاعلة السيئة. سيكون هناك حاجة لعدة طبقات من التحقق.
إذا كان كل شيء سليمًا، فإن الخدمة ستخزن الشهادة في ملف، باستخدام تنسيق Privacy-Enhanced Mail (PEM) المعروف.
هناك بعض المتطلبات غير الوظيفية:
يمكن أن تكون خدمات webhook من آلة إلى آلة صعبة الرؤية فقط من الردود على ما يحدث بداخلها. يجب أن توفر الخدمة سجلات على مستوى التطبيق يمكن قراءتها بواسطة البشر بشكل واسع. وبشكل خاص، يجب تسجيل تحليل الشهادة والتحقق.
نضيف حالات اختبار للمكونات الداخلية للتطبيق، باستخدام إطار العمل الجميل Pytest، وتشغيل تلك الاختبارات تلقائيًا عند تسجيل الدخول باستخدام تكامل Travis CI مع GitHub.
حسنًا – لنبدأ!
1. نظرة عامة على الحل
إليك كيف ستبدو الحلول الإجمالية.

2. تثبيت، تكوين وبدء تشغيل التطبيق الويب
3. إعداد Webhooks استقبال SparkPost
أولاً، نختار نطاقًا لاستخدامه كعنوان رسائلنا الواردة - هنا سيكون inbound.thetucks.com. قم بإعداد النطاق الخاص بك باتباع هذا الدليل. إليك الخطوات التي استخدمتها بالتفصيل:
3.1 إضافة سجلات MX
ستحتاج إلى الوصول إلى حساب مزود خدمة الإنترنت الخاص بك. بمجرد الانتهاء، يمكنك التحقق منها باستخدام الأمر dig - إليك الأمر لنطاقي.
dig +short MX inbound.thetucks.com
يجب أن ترى:
10 rx3.sparkpostmail.com. 10 rx1.sparkpostmail.com. 10 rx2.sparkpostmail.com.
3.2 إنشاء نطاق وارد
استخدم مجموعة Postman الخاصة بـSparkPost API، وحدد مكالمة Inbound Domains / Create .. يحتوي المحتوى الأساسي لطلب POST على نطاقك، على سبيل المثال:
{ "domain": "inbound.thetucks.com" }

3.3 إنشاء Webhook ترحيل
قم بإنشاء Webhook لترحيل الوارد باستخدام مكالمة Postman المناسبة. يحتوي نص الرسالة في حالتي على:
{ "name": "Certificate Collection Webhook", "target": "https://app.trymsys.net:8855/", "auth_token": "t0p s3cr3t t0k3n", "match": { "protocol": "SMTP", "domain": "inbound.thetucks.com" } }
كما ذُكر سابقًا، أوصي بتعيين auth_token لقيمتك السرية الخاصة، كما تم تعيينها في ملف webapp.ini على مضيفك.
تحتاج قيمة "target" إلى مطابقة عنوان مضيفك ومنفذ TCP حيث ستستضيف تطبيق الويب.
تحتاج قيمة "domain" إلى مطابقة سجلات MX التي تم إعدادها في الخطوة 1.

هذا هو! تم الانتهاء من التوصيل. يجب أن تكون قادرًا الآن على إرسال الشهادات إلى عنوانك الوارد، حيث سيتم معالجتها وتظهر على مضيف تطبيق الويب الخاص بك - في هذه الحالة، ملف باسم bob.lumreeker@gmail.com.crt.
الآن يمكنك إرسال رسائل مشفرة إلى Bob، باستخدام الأدوات الموضحة في الأجزاء 2 و3 من هذه السلسلة.
يمكنك فحص محتويات الشهادة باستخدام:
openssl x509 -inform PEM -in bob.lumreeker\@gmail.com.crt -text -noout
4. الداخلية: التحقق من DKIM، التحقق من الشهادة
يتحقق التطبيق من أن رسائل البريد الإلكتروني المستلمة تحتوي على DKIM صالح ويتحقق من أن الشهادات نفسها صالحة، كما هو موضح هنا. هناك ملاحظات تنفيذية في الداخل أيضًا، وأفكار لمزيد من العمل.
تلخيص...
لقد رأينا كيف يمكن جمع مفاتيح المستلمين العامة بسهولة باستخدام بريد إلكتروني إلى عنوان ويب هوكس للاستقبال. بمجرد الانتهاء من ذلك، يمكن لهؤلاء المستلمين تلقي رسائلهم في شكل مشفر باستخدام S/MIME.
هذا كل شيء في الوقت الحالي! إرسال سعيد.