Dalam seri ini, kita telah melihat bagaimana menyertakan tanda tangan S/MIME cukup sederhana. Mengirim email yang terenkripsi S/MIME lebih rumit karena Anda perlu mendapatkan kunci publik penerima. Ini satu hal ketika Anda menggunakan klien email untuk manusia seperti Thunderbird – tetapi bagaimana cara kerjanya dengan aliran email yang dihasilkan oleh aplikasi?
Business in a box.
Temukan solusi kami.
Bicaralah kepada tim penjualan kami
Dalam bagian 1, kami melakukan tur cepat dari S/MIME, melihat pada penandatanganan dan enkripsi aliran pesan kami di berbagai klien email. Bagian 2 membawa kami melewati alat baris perintah sederhana untuk menandatangani dan mengenkripsi email, kemudian mengirimkannya melalui SparkPost. Bagian 3 menunjukkan bagaimana menyuntikkan aliran email yang aman ke dalam platform lokal seperti Port25 PowerMTA dan Momentum.
Dalam seri ini, kita telah melihat bagaimana menyertakan tanda tangan S/MIME cukup sederhana. Mengirim email terenkripsi S/MIME lebih kompleks karena Anda perlu mendapatkan kunci publik penerima. Itu adalah satu hal ketika Anda menggunakan klien email untuk manusia seperti Thunderbird – tetapi bagaimana hal itu dapat bekerja dengan aliran email yang dihasilkan aplikasi?
Tapi tunggu – ada cara lain ke Mordor untuk mendapatkan kunci tersebut. Layanan Anda dapat mengundang pelanggan Anda (melalui email, tentu saja) untuk mengirim kembali email yang ditandatangani ke alamat layanan pelanggan yang diketahui. Dengan menggunakan kekuatan magis webhooks SparkPost Inbound Relay, kami akan mengekstrak dan menyimpan kunci publik itu untuk Anda gunakan.
Kami dapat merangkum ini dalam kasus penggunaan sederhana:
Sebagai penerima pesan, saya memberikan layanan Anda tanda tangan email pribadi saya melalui email, sehingga di masa depan, email dapat dikirim kepada saya dalam bentuk terenkripsi S/MIME.
Dari ini, mari kita turunkan beberapa persyaratan yang lebih rinci:
Kami memerlukan layanan email masuk yang selalu aktif dan dapat diandalkan untuk menerima email yang ditandatangani tersebut.
Tidak ada persyaratan khusus tentang format email, selain harus membawa tanda tangan S/MIME.
Karena siapa pun dapat mencoba mengirim email ke layanan ini, maka harus dirancang secara defensif, misalnya, untuk menolak pesan “spoof” dari pelaku buruk. Akan ada beberapa lapisan pemeriksaan.
Jika semuanya diperiksa dengan benar, layanan akan menyimpan sertifikat tersebut dalam sebuah file, menggunakan format Plain-Text Privacy-Enhanced Mail yang sudah dikenal (PEM).
Ada beberapa persyaratan non-fungsional:
Layanan webhook mesin ke mesin bisa sulit dilihat hanya dari respons terhadap apa yang terjadi di dalam. Layanan harus menyediakan log tingkat aplikasi yang dapat dibaca manusia secara ekstensif. Khususnya, parsing dan pemeriksaan sertifikat harus dicatat.
Kami menambahkan kasus uji untuk internal aplikasi, menggunakan kerangka kerja Pytest yang bagus, dan menjalankan pengujian tersebut secara otomatis pada check-in menggunakan integrasi Travis CI dengan GitHub.
Oke – Mari kita mulai!
1. Gambaran solusi
Inilah gambaran keseluruhan solusi.
2. Menginstal, mengonfigurasi, dan memulai aplikasi web
3. Pengaturan SparkPost inbound relay webhooks
Pertama, kami memilih domain untuk digunakan sebagai alamat pesan masuk kami – di sini, akan menjadi inbound.thetucks.com. Atur domain Anda mengikuti panduan ini. Berikut adalah langkah-langkah yang saya gunakan secara detail:
3.1 Tambahkan Catatan MX
Anda memerlukan akses ke akun Penyedia Layanan Internet spesifik Anda. Setelah selesai, Anda dapat memeriksanya dengan dig – berikut adalah perintah untuk domain saya.
dig +short MX inbound.thetucks.com
Anda seharusnya melihat:
10 rx3.sparkpostmail.com. 10 rx1.sparkpostmail.com. 10 rx2.sparkpostmail.com.
3.2 Buat Inbound Domain
Gunakan SparkPost Postman API collection, pilih Inbound Domains / Create .. call. Badan permintaan POST berisi domain Anda, contohnya:
{ "domain": "inbound.thetucks.com" }
3.3 Buat Relay Webhook
Buat inbound relay webhook menggunakan panggilan Postman yang relevan. Badan pesan dalam kasus saya berisi:
{ "name": "Certificate Collection Webhook", "target": "https://app.trymsys.net:8855/", "auth_token": "t0p s3cr3t t0k3n", "match": { "protocol": "SMTP", "domain": "inbound.thetucks.com" } }
Seperti yang disebutkan sebelumnya, saya merekomendasikan mengatur auth_token ke nilai rahasia Anda sendiri, seperti yang ditentukan dalam file webapp.ini pada host Anda.
Nilai “target” Anda perlu sesuai dengan alamat host dan port TCP tempat Anda akan menghosting aplikasi web.
Nilai “domain” Anda perlu sesuai dengan catatan MX yang Anda atur pada langkah 1.
Itu dia! Koneksi selesai. Sekarang Anda seharusnya dapat mengirim sertifikat ke alamat masuk Anda, mereka akan diproses dan muncul di host aplikasi web Anda – dalam hal ini, file bernama bob.lumreeker@gmail.com.crt.
Sekarang Anda dapat mengirim email terenkripsi kepada Bob, menggunakan alat yang dijelaskan di bagian 2 & 3 dari seri ini.
Anda dapat memeriksa isi sertifikat menggunakan:
openssl x509 -inform PEM -in bob.lumreeker\@gmail.com.crt -text -noout
4. Internals: pengecekan DKIM, validasi sertifikat
Aplikasi memeriksa email yang diterima memiliki DKIM yang valid dan memeriksa bahwa sertifikat itu sendiri valid, seperti yang dijelaskan di sini. Ada catatan implementasi di sana juga, dan ide untuk pekerjaan lebih lanjut.
Menyimpulkan…
Kami telah melihat bagaimana kunci publik penerima dapat dikumpulkan dengan mudah menggunakan email ke alamat webhooks inbound relay. Setelah selesai, penerima tersebut dapat menerima pesan mereka dalam bentuk terenkripsi S/MIME.
Itu saja untuk sekarang! Selamat mengirim.
