Dans la première partie, nous avons effectué un rapide tour d'horizon de S/MIME, en examinant la signature et le cryptage de nos flux de messages à travers une gamme de clients de messagerie. Les messages S/MIME peuvent être signés (fournissant une preuve de l'identité de l'expéditeur), cryptés (gardant le corps du message secret), ou les deux.
Business in a box.
Découvrez nos solutions.
Parlez à notre équipe de vente
Dans cette tranche, nous allons :
Installer quelques outils de ligne de commande simples pour signer et chiffrer les emails
Obtenez votre clé/certificat d'expéditeur pour la signature
Envoyez un message signé via SparkPost, et regardez le message reçu
Optionnellement, obtenez votre certificat de destinataire pour le chiffrement
Envoyez un message signé et chiffré via SparkPost, et regardez le message reçu
Essayez un outil autonome pratique "mimeshow" pour examiner les fichiers internes des emails.
D'accord – commençons !
1. Installer les outils
Les outils de démonstration se trouvent sur Github ici, avec des instructions d'installation complètes. Vous remarquerez peut-être le logo « build passant » – Travis et pytest vérifient automatiquement le statut de la construction. Notez que ces outils ne sont pas officiellement pris en charge par SparkPost, mais j'ai essayé de les rendre robustes et faciles à utiliser.
Si vous avez quelques notions de Python et pip, l'installation devrait vous sembler assez familière. Le Pipfile prend automatiquement en charge les dépendances externes pour vous. Une fois cela terminé, vous pouvez vérifier si tout est installé en exécutant
./sparkpostSMIME.py -h
Vous devriez voir le texte d'aide convivial. Ensuite, nous devons…
2. Obtenez votre clé / certificat d'expéditeur pour la signature
3. Envoyer un message signé via SparkPost
Maintenant, utilisons un domaine d'envoi réel, configuré selon le Nouveau Guide de l'Utilisateur de SparkPost. Nous avons le certificat d'expéditeur et les fichiers clés dans le répertoire actuel :
steve@thetucks.com.crt steve@thetucks.com.pem
Le fichier tests/declaration.eml est inclus dans le projet. C’est juste un fichier texte, vous pouvez donc personnaliser l'adresse From: pour convenir à votre propre domaine d'envoi et l'adresse To: pour convenir à votre destinataire de test. Le début du fichier ressemble à ceci :
To: Bob <bob.lumreeker@gmail.com> From: Steve <steve@thetucks.com> Subject: Voici notre déclaration MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 7bit Content-Language: en-GB Quand, au cours des événements humains, il devient nécessaire...
Configurez votre clé API :
export SPARKPOST_API_KEY=<<Mettez votre clé API ici>>
Envoyez l'email :
./sparkpostSMIME.py tests/declaration.eml --sign --send_api
Vous verrez :
Connexion ouverte à https://api.sparkpost.com/api/v1 Envoi de tests/declaration.eml From: Steve <steve@thetucks.com> To: Bob <bob.lumreeker@gmail.com> OK - en 1,15 secondes
Une seconde environ plus tard, l'email arrive dans la boîte de réception de Bob. Thunderbird l'affiche avec un point rouge sur l'enveloppe, indiquant une signature d'expéditeur valide.
Succès ! Finissez ce café, vous l'avez bien mérité. Si vous avez des difficultés, vérifiez que votre adresse From: dans le fichier email correspond au nom de vos fichiers .crt et .pem.
4. Chiffrement des messages
Pour chiffrer un message, vous avez besoin de la clé publique de votre destinataire sous forme de certificat. Il s'agit d'un fichier texte qui ressemble à ceci :
Bag Attributes friendlyName: s COMODO CA Limited ID #2 localKeyID: 32 84 AB 9C 56 5C 80 C6 89 4D 40 46 DD D4 7C 71 E8 CD ED C1 subject=/emailAddress=bob.lumreeker@gmail.com issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Client Authentication and Secure Email CA -----BEGIN CERTIFICATE----- ressemble à des caractères aléatoires ici -----END CERTIFICATE-----
Il y a un certificat de destinataire fictif pour bob@example.com dans le répertoire des tests, vous pouvez donc vous entraîner avec avant d'avoir un vrai certificat :
cd tests ../sparkpostSMIME.py example_email1.eml --sign --encrypt
Vous verrez :
À : Bob <bob@example.com> De : Alice <alice@example.com> Sujet : Un message MIME-Version : 1.0 Content-Type : application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m Content-Transfer-Encoding : base64 Content-Disposition : attachment; filename=smime.p7m MIIRwQYJKoZIhvcNAQcDoIIRsjCCEa4CAQAxggKlMIICoQIBADCBijCBhDELMAkG :
Vous remarquerez que la longueur de la sortie est un peu plus longue qu'un message chiffré car elle contient beaucoup d'informations supplémentaires ainsi que le message brouillé lui-même.
4.1 Envoi d'un message chiffré et signé via SparkPost
Envoyons un message chiffré à une adresse e-mail réelle. Vous pouvez suivre le même processus qu'avant (auto-signé ou via un fournisseur comme Comodo) pour obtenir une clé publique/certificat pour vos propres adresses destinataires. Vous n'avez besoin que du fichier .crt - le destinataire n'a jamais besoin de vous donner sa clé privée (fichiers .p12 et .pem).
J'ai le fichier bob.lumreeker@gmail.com.crt pour mon destinataire prévu – correspondant à l'adresse De : dans mon fichier.
Voici la commande pour envoyer :
./sparkpostSMIME.py tests/declaration.eml --sign --encrypt --send_api
Je vois :
Connexion ouverte à https://api.sparkpost.com/api/v1 Envoi tests/declaration.eml De : Steve <steve@thetucks.com> À : Bob <bob.lumreeker@gmail.com> OK - en 1.168 secondes
Le mail apparaît dans Thunderbird avec l'icône de signature "point rouge" et l'icône de verrou "chiffré".
Vous pouvez envoyer des e-mails complexes basés sur HTML avec des liens et des images tout aussi facilement, comme celui montré dans la Partie 1. Certains clients, tels que Thunderbird, demandent la permission d'afficher des liens et des images externes dans les messages S/MIME chiffrés, mais les messages signés uniquement s'affichent bien dans des clients incluant Thunderbird et Gmail :
Notez que le menu déroulant affiche "Adresse e-mail vérifiée".
Réflexions supplémentaires et choses à prendre en compte
Cet outil adopte une approche ultra-simple pour récupérer les clés nécessaires – il cherche simplement des fichiers nommés dans le répertoire actuel. Des arrangements plus complexes, tels que la conservation de toutes les clés dans une base de données, pourraient facilement être ajoutés, mais je voulais que le code soit aussi simple que possible.
Vous pouvez inclure d'autres destinataires avec Cc: et Bcc: et ils seront livrés ; cela pourrait être utile pour des fins d'archivage. Les messages signés sont reçus et peuvent être affichés par d'autres destinataires avec la signature complète. L'outil retire l'en-tête Bcc: du message livré (comme le ferait un client de messagerie de bureau).
Pour garantir que les messages passent par SparkPost sans changements (ce qui pourrait casser la signature), l'outil définit les options API pour les envois « transactionnels », avec le suivi de l'ouverture et du clic désactivé.
Si vous utilisez le cryptage, gardez à l'esprit que l'outil récupère l'adresse To: unique pour cela. Les autres destinataires ne peuvent décoder le corps du message que s'ils possèdent la clé privée du destinataire To:. Si vous n’utilisez que des destinataires secondaires pour garder trace des livraisons effectuées, par exemple, cela peut convenir malgré tout.
Signé, scellé, livré…Je suis à toi
C’est notre rapide aperçu de comment signer, sceller et livrer des messages S/MIME via SparkPost. Bref rappel : le projet démo est sur Github ici, j’ai essayé de le rendre facile à installer et à utiliser.
Fonctionnalité bonus : affichage des parties MIME avec "mimeshow"
Les fichiers multiples RFC822 MIME sont assez complexes à lire pour les humains. Le projet inclut un outil autonome pour faciliter cela, appelé mimeshow.
Cela prend tous les fichiers d'e-mails que vous avez (pas seulement ceux S/MIME) et montre la structure interne. Voici un exemple :
./mimeshow.py testcases/img_and_attachment.eml
Vous verrez :
À Bob <bob.lumreeker@gmail.com>
De Steve <steve@thetucks.com>
Objet Tester les pièces jointes, etc.
MIME-Version 1.0
Content-Type multipart/mixed; boundary="------------7D48652042860D0098C65210"
Content-Language en-GB
Content-Type multipart/alternative; boundary="------------58C0BF87598336550D70EB95"
Content-Type text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding 7bit
Content-Transfer-Encoding quoted-printable
Content-Type text/html; charset="utf-8"
Content-Type application/pdf; name="sparkpost-datasheet-tam-technical-account-management.pdf"
Content-Transfer-Encoding base64
Content-Disposition attachment; filename="sparkpost-datasheet-tam-technical-account-management.pdf"
Vous pouvez également utiliser comme filtre pour donner un résumé lisible par l'homme de la sortie sparkpostSMIME :
./sparkpostSMIME.py tests/declaration.eml --sign --encrypt | ./mimeshow.py
Vous verrez :
À Bob <bob.lumreeker@gmail.com>
De Steve <steve@thetucks.com>
Objet Voici notre déclaration
Content-Language en-GB
MIME-Version 1.0
Content-Type application/pkcs7-mime; smime-type=enveloped-data; name=smime.p7m
Content-Transfer-Encoding base64
Content-Disposition attachment; filename=smime.p7m
Enfin…
Pour récapituler – nous avons installé quelques outils de ligne de commande simples pour signer et chiffrer les e-mails (le dépôt Github est ici, avec des instructions d'installation).
Nous avons obtenu notre clé / certificat d'expéditeur pour la signature, et envoyé un message signé via SparkPost. Nous avons obtenu un certificat de destinataire pour le chiffrement, puis envoyé un message signé et chiffré via SparkPost.
Enfin, nous avons essayé l'outil autonome pratique "mimeshow" pour examiner les fichiers d'e-mail internes.
C’est tout pour l'instant ! À bientôt !
