Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

S/MIME Bagian 4: Mengumpulkan Kunci Publik Penerima dengan Cara yang Mudah – dengan SparkPost Inbound Relay Webhooks

Email

1 min read

S/MIME Bagian 4: Mengumpulkan Kunci Publik Penerima dengan Cara yang Mudah – dengan SparkPost Inbound Relay Webhooks

Email

1 min read

S/MIME Bagian 4: Mengumpulkan Kunci Publik Penerima dengan Cara yang Mudah – dengan SparkPost Inbound Relay Webhooks

Dalam seri ini, kita telah melihat bagaimana menyertakan tanda tangan S/MIME cukup sederhana. Mengirim email yang terenkripsi S/MIME lebih rumit karena Anda perlu mendapatkan kunci publik penerima. Ini satu hal ketika Anda menggunakan klien email untuk manusia seperti Thunderbird – tetapi bagaimana cara kerjanya dengan aliran email yang dihasilkan oleh aplikasi?

Di bagian 1, kami telah berkeliling singkat tentang S/MIME, melihat tanda tangan dan enkripsi aliran pesan kami di berbagai klien email. Bagian 2 membawa kita melalui alat baris perintah sederhana untuk menandatangani dan mengenkripsi email, kemudian mengirimnya melalui SparkPost. Bagian 3 menunjukkan cara menyuntikkan aliran email yang aman ke platform lokal seperti Port25 PowerMTA dan Momentum.

Dalam seri ini, kami telah melihat bagaimana memasukkan tanda tangan S/MIME cukup sederhana. Mengirim email terenkripsi S/MIME lebih kompleks karena Anda perlu mendapatkan kunci publik penerima. Ini satu hal ketika Anda menggunakan klien email untuk manusia seperti Thunderbird – tapi bagaimana cara kerjanya dengan aliran email yang dihasilkan aplikasi?

Tapi tunggu – ada cara lain untuk masuk ke Mordor untuk mendapatkan kunci tersebut. Layanan Anda dapat mengundang pelanggan Anda (melalui email, tentu saja) untuk mengirim kembali email yang ditandatangani ke alamat layanan pelanggan yang dikenal. Dengan kekuatan magis dari SparkPost Inbound Relay webhook, kami akan mengekstrak dan menyimpan kunci publik itu untuk Anda gunakan.

Kita bisa meringkas ini dalam kasus penggunaan sederhana:

  • Sebagai penerima pesan, saya menyediakan layanan Anda dengan tanda tangan email pribadi saya melalui email, sehingga di masa depan, email dapat dikirim ke saya dalam bentuk terenkripsi S/MIME.

Dari sini, mari tentukan beberapa persyaratan lebih rinci:

  • Kami memerlukan layanan email masuk yang andal dan selalu aktif untuk menerima email yang ditandatangani tersebut.

  • Tidak ada persyaratan khusus pada format email, kecuali harus membawa tanda tangan S/MIME.

  • Karena siapa pun dapat mencoba mengirim email ke layanan ini, layanan harus dirancang secara defensif, misalnya, menolak pesan "spoof" dari pelaku buruk. Akan ada beberapa lapisan pemeriksaan.

  • Jika semua pemeriksaan berjalan lancar, layanan akan menyimpan sertifikat dalam file, menggunakan format plain-text Privacy-Enhanced Mail (PEM) yang dikenal.

Ada beberapa persyaratan non-fungsional:

  • Layanan webhook mesin-ke-mesin dapat sulit dilihat hanya dari respons terhadap apa yang terjadi di dalam. Layanan harus menyediakan log tingkat aplikasi yang dapat dibaca manusia dengan luas. Khususnya, penguraian dan pemeriksaan sertifikat harus dicatat.

  • Kami menambahkan kasus uji untuk internal aplikasi, menggunakan kerangka Pytest yang bagus, dan menjalankan uji coba tersebut secara otomatis pada check-in menggunakan integrasi Travis CI dengan GitHub.

OK – mari kita mulai!

1. Gambaran solusi

Inilah gambaran keseluruhan solusi tersebut.

Diagram depicting a secure email flow illustrating how emails are verified using certificates for secure transmission.

2. Menginstal, mengonfigurasi, dan memulai aplikasi web

Kami akan memulai dengan bagian ini, sehingga kami sudah mengujinya sepenuhnya sebelum memeriksa webhooks inbound relay.

Aplikasi web disertakan dalam proyek GitHub yang sama dengan bagian 1 – 3, jadi jika Anda telah mengikuti bagian tersebut, Anda sudah memilikinya. Berikut adalah bit baru:

  • Program readSMIMEsig.py – membaca email dan menguraikan sertifikat menengah dan pengguna.

  • Program webapp.py – aplikasi web sederhana yang kompatibel dengan Flask untuk digunakan dengan SparkPost Inbound Relay Webhooks.

  • webapp.ini – file konfigurasi untuk di atas. Sebuah file config memungkinkan nilai yang sama untuk dipindahkan dengan mudah ke aplikasi command-line dan web.

Anda harus memastikan host Anda memiliki nomor port TCP yang benar terbuka untuk permintaan inbound dari dunia luar sehingga SparkPost dapat mengirimkan pesan ke aplikasi Anda. Jika Anda di-hosting di AWS EC2, misalnya, Anda perlu mengkonfigurasi Security Group instance Anda.

Instruksi untuk mengkonfigurasi dan memulai aplikasi web diberikan di sini – sangat mudah. Untuk memeriksa apakah aplikasi Anda berjalan dan dapat diakses dari dunia luar, Anda bisa mengirim permintaan (kosong) dari host lain menggunakan curl, misalnya:

curl -X POST https://app.trymsys.net:8855/

Anda harus melihat respons seperti:

{"message":"Jenis Konten Tidak Dikenal di header permintaan"}

Ini adalah hal yang baik – aplikasi Anda berjalan!

Di webapp.log pada host Anda, Anda akan melihat keluaran yang mirip dengan ini:

2019-01-15 00:11:07,575,root,INFO,Permintaan dari 38.96.5.10,skema=https,path=/ 2019-01-15 00:11:07,575,root,INFO,| len(headers)=3,len(body)=None 2019-01-15 00:11:07,575,root,INFO,| Jenis Konten Tidak Dikenal: None

Untuk membantu Anda bermain dengan data nyata dalam aplikasi Anda segera, Anda dapat mengimpor permintaan Postman khusus ini dari repositori proyek. Ini mensimulasikan apa yang akan dilakukan oleh akun SparkPost Anda, yaitu mengirimkan https POST yang berisi email dengan sertifikat yang spesifik dan valid (milik akun uji saya) ke aplikasi Anda.

Anda hanya perlu mengubah alamat tujuan dalam permintaan (dalam kotak abu-abu di atas) agar sesuai dengan instalasi Anda. Jika Anda mengubah nilai token di webapp.ini, sesuaikan nilai header di Postman agar sesuai.

Jika aplikasi Anda berfungsi, Anda akan melihat respons “200 OK” kembali di Postman. File webapp.log host Anda akan berisi keluaran seperti ini:

2019-01-15 00:11:48,554,root,INFO,Permintaan dari 38.96.5.10,skema=https,path=/ 2019-01-15 00:11:48,554,root,INFO,| len(headers)=10,len(body)=14778 2019-01-15 00:11:48,555,root,INFO,| msg_from=bob.lumreeker@gmail.com,rcpt_to=secureme@inbound.thetucks.com,len(email_rfc822)=9223 2019-01-15 00:11:48,599,root,INFO,| from=bob.lumreeker@gmail.com,DKIM lolos 2019-01-15 00:11:48,600,root,INFO,| content-type=multipart/signed; protocol="application/pkcs7-signature"; micalg=sha-256; boundary="------------ms010908020707040304020406",content-description=None 2019-01-15 00:11:48,600,root,INFO,| content-type=text/plain; charset=utf-8; format=flowed,content-description=None 2019-01-15 00:11:48,600,root,INFO,| content-type=application/pkcs7-signature; name="smime.p7s",content-description=Tanda Tangan Kriptografi S/MIME 2019-01-15 00:11:48,600,root,INFO,| filename=smime.p7s,bytes=3998 2019-01-15 00:11:48,601,root,INFO,| Sertifikat: subject email_address=['bob.lumreeker@gmail.com'],not_valid_before=2018-10-03 00:00:00,not_valid_after=2019-10-03 23:59:59,hash_algorithm=sha256,key_size=2048 bytes, issuer={'countryName': 'GB', 'stateOrProvinceName': 'Greater Manchester', 'localityName': 'Salford', 'organizationName': 'COMODO CA Limited', 'commonName': 'COMODO RSA Client Authentication and Secure Email CA'} 2019-01-15 00:11:48,602,root,INFO,| Sertifikat: subject email_address=[],not_valid_before=2013-01-10 00:00:00,not_valid_after=2028-01-09 23:59:59,hash_algorithm=sha384,key_size=2048 bytes, issuer={'countryName': 'GB', 'stateOrProvinceName': 'Greater Manchester', 'localityName': 'Salford', 'organizationName': 'COMODO CA Limited', 'commonName': 'COMODO RSA Certification Authority'} 2019-01-15 00:11:48,616,root,INFO,| file ditulis ./bob.lumreeker@gmail.com.crt,bytes=1870,ok=True

Untuk pemeriksaan cepat, cari baris terakhir – jika tertulis “file ditulis”, maka Anda berhasil. Sisanya menunjukkan proses pemeriksaan DKIM dan validasi sertifikat.

Kami akan memulai dengan bagian ini, sehingga kami sudah mengujinya sepenuhnya sebelum memeriksa webhooks inbound relay.

Aplikasi web disertakan dalam proyek GitHub yang sama dengan bagian 1 – 3, jadi jika Anda telah mengikuti bagian tersebut, Anda sudah memilikinya. Berikut adalah bit baru:

  • Program readSMIMEsig.py – membaca email dan menguraikan sertifikat menengah dan pengguna.

  • Program webapp.py – aplikasi web sederhana yang kompatibel dengan Flask untuk digunakan dengan SparkPost Inbound Relay Webhooks.

  • webapp.ini – file konfigurasi untuk di atas. Sebuah file config memungkinkan nilai yang sama untuk dipindahkan dengan mudah ke aplikasi command-line dan web.

Anda harus memastikan host Anda memiliki nomor port TCP yang benar terbuka untuk permintaan inbound dari dunia luar sehingga SparkPost dapat mengirimkan pesan ke aplikasi Anda. Jika Anda di-hosting di AWS EC2, misalnya, Anda perlu mengkonfigurasi Security Group instance Anda.

Instruksi untuk mengkonfigurasi dan memulai aplikasi web diberikan di sini – sangat mudah. Untuk memeriksa apakah aplikasi Anda berjalan dan dapat diakses dari dunia luar, Anda bisa mengirim permintaan (kosong) dari host lain menggunakan curl, misalnya:

curl -X POST https://app.trymsys.net:8855/

Anda harus melihat respons seperti:

{"message":"Jenis Konten Tidak Dikenal di header permintaan"}

Ini adalah hal yang baik – aplikasi Anda berjalan!

Di webapp.log pada host Anda, Anda akan melihat keluaran yang mirip dengan ini:

2019-01-15 00:11:07,575,root,INFO,Permintaan dari 38.96.5.10,skema=https,path=/ 2019-01-15 00:11:07,575,root,INFO,| len(headers)=3,len(body)=None 2019-01-15 00:11:07,575,root,INFO,| Jenis Konten Tidak Dikenal: None

Untuk membantu Anda bermain dengan data nyata dalam aplikasi Anda segera, Anda dapat mengimpor permintaan Postman khusus ini dari repositori proyek. Ini mensimulasikan apa yang akan dilakukan oleh akun SparkPost Anda, yaitu mengirimkan https POST yang berisi email dengan sertifikat yang spesifik dan valid (milik akun uji saya) ke aplikasi Anda.

Anda hanya perlu mengubah alamat tujuan dalam permintaan (dalam kotak abu-abu di atas) agar sesuai dengan instalasi Anda. Jika Anda mengubah nilai token di webapp.ini, sesuaikan nilai header di Postman agar sesuai.

Jika aplikasi Anda berfungsi, Anda akan melihat respons “200 OK” kembali di Postman. File webapp.log host Anda akan berisi keluaran seperti ini:

2019-01-15 00:11:48,554,root,INFO,Permintaan dari 38.96.5.10,skema=https,path=/ 2019-01-15 00:11:48,554,root,INFO,| len(headers)=10,len(body)=14778 2019-01-15 00:11:48,555,root,INFO,| msg_from=bob.lumreeker@gmail.com,rcpt_to=secureme@inbound.thetucks.com,len(email_rfc822)=9223 2019-01-15 00:11:48,599,root,INFO,| from=bob.lumreeker@gmail.com,DKIM lolos 2019-01-15 00:11:48,600,root,INFO,| content-type=multipart/signed; protocol="application/pkcs7-signature"; micalg=sha-256; boundary="------------ms010908020707040304020406",content-description=None 2019-01-15 00:11:48,600,root,INFO,| content-type=text/plain; charset=utf-8; format=flowed,content-description=None 2019-01-15 00:11:48,600,root,INFO,| content-type=application/pkcs7-signature; name="smime.p7s",content-description=Tanda Tangan Kriptografi S/MIME 2019-01-15 00:11:48,600,root,INFO,| filename=smime.p7s,bytes=3998 2019-01-15 00:11:48,601,root,INFO,| Sertifikat: subject email_address=['bob.lumreeker@gmail.com'],not_valid_before=2018-10-03 00:00:00,not_valid_after=2019-10-03 23:59:59,hash_algorithm=sha256,key_size=2048 bytes, issuer={'countryName': 'GB', 'stateOrProvinceName': 'Greater Manchester', 'localityName': 'Salford', 'organizationName': 'COMODO CA Limited', 'commonName': 'COMODO RSA Client Authentication and Secure Email CA'} 2019-01-15 00:11:48,602,root,INFO,| Sertifikat: subject email_address=[],not_valid_before=2013-01-10 00:00:00,not_valid_after=2028-01-09 23:59:59,hash_algorithm=sha384,key_size=2048 bytes, issuer={'countryName': 'GB', 'stateOrProvinceName': 'Greater Manchester', 'localityName': 'Salford', 'organizationName': 'COMODO CA Limited', 'commonName': 'COMODO RSA Certification Authority'} 2019-01-15 00:11:48,616,root,INFO,| file ditulis ./bob.lumreeker@gmail.com.crt,bytes=1870,ok=True

Untuk pemeriksaan cepat, cari baris terakhir – jika tertulis “file ditulis”, maka Anda berhasil. Sisanya menunjukkan proses pemeriksaan DKIM dan validasi sertifikat.

Kami akan memulai dengan bagian ini, sehingga kami sudah mengujinya sepenuhnya sebelum memeriksa webhooks inbound relay.

Aplikasi web disertakan dalam proyek GitHub yang sama dengan bagian 1 – 3, jadi jika Anda telah mengikuti bagian tersebut, Anda sudah memilikinya. Berikut adalah bit baru:

  • Program readSMIMEsig.py – membaca email dan menguraikan sertifikat menengah dan pengguna.

  • Program webapp.py – aplikasi web sederhana yang kompatibel dengan Flask untuk digunakan dengan SparkPost Inbound Relay Webhooks.

  • webapp.ini – file konfigurasi untuk di atas. Sebuah file config memungkinkan nilai yang sama untuk dipindahkan dengan mudah ke aplikasi command-line dan web.

Anda harus memastikan host Anda memiliki nomor port TCP yang benar terbuka untuk permintaan inbound dari dunia luar sehingga SparkPost dapat mengirimkan pesan ke aplikasi Anda. Jika Anda di-hosting di AWS EC2, misalnya, Anda perlu mengkonfigurasi Security Group instance Anda.

Instruksi untuk mengkonfigurasi dan memulai aplikasi web diberikan di sini – sangat mudah. Untuk memeriksa apakah aplikasi Anda berjalan dan dapat diakses dari dunia luar, Anda bisa mengirim permintaan (kosong) dari host lain menggunakan curl, misalnya:

curl -X POST https://app.trymsys.net:8855/

Anda harus melihat respons seperti:

{"message":"Jenis Konten Tidak Dikenal di header permintaan"}

Ini adalah hal yang baik – aplikasi Anda berjalan!

Di webapp.log pada host Anda, Anda akan melihat keluaran yang mirip dengan ini:

2019-01-15 00:11:07,575,root,INFO,Permintaan dari 38.96.5.10,skema=https,path=/ 2019-01-15 00:11:07,575,root,INFO,| len(headers)=3,len(body)=None 2019-01-15 00:11:07,575,root,INFO,| Jenis Konten Tidak Dikenal: None

Untuk membantu Anda bermain dengan data nyata dalam aplikasi Anda segera, Anda dapat mengimpor permintaan Postman khusus ini dari repositori proyek. Ini mensimulasikan apa yang akan dilakukan oleh akun SparkPost Anda, yaitu mengirimkan https POST yang berisi email dengan sertifikat yang spesifik dan valid (milik akun uji saya) ke aplikasi Anda.

Anda hanya perlu mengubah alamat tujuan dalam permintaan (dalam kotak abu-abu di atas) agar sesuai dengan instalasi Anda. Jika Anda mengubah nilai token di webapp.ini, sesuaikan nilai header di Postman agar sesuai.

Jika aplikasi Anda berfungsi, Anda akan melihat respons “200 OK” kembali di Postman. File webapp.log host Anda akan berisi keluaran seperti ini:

2019-01-15 00:11:48,554,root,INFO,Permintaan dari 38.96.5.10,skema=https,path=/ 2019-01-15 00:11:48,554,root,INFO,| len(headers)=10,len(body)=14778 2019-01-15 00:11:48,555,root,INFO,| msg_from=bob.lumreeker@gmail.com,rcpt_to=secureme@inbound.thetucks.com,len(email_rfc822)=9223 2019-01-15 00:11:48,599,root,INFO,| from=bob.lumreeker@gmail.com,DKIM lolos 2019-01-15 00:11:48,600,root,INFO,| content-type=multipart/signed; protocol="application/pkcs7-signature"; micalg=sha-256; boundary="------------ms010908020707040304020406",content-description=None 2019-01-15 00:11:48,600,root,INFO,| content-type=text/plain; charset=utf-8; format=flowed,content-description=None 2019-01-15 00:11:48,600,root,INFO,| content-type=application/pkcs7-signature; name="smime.p7s",content-description=Tanda Tangan Kriptografi S/MIME 2019-01-15 00:11:48,600,root,INFO,| filename=smime.p7s,bytes=3998 2019-01-15 00:11:48,601,root,INFO,| Sertifikat: subject email_address=['bob.lumreeker@gmail.com'],not_valid_before=2018-10-03 00:00:00,not_valid_after=2019-10-03 23:59:59,hash_algorithm=sha256,key_size=2048 bytes, issuer={'countryName': 'GB', 'stateOrProvinceName': 'Greater Manchester', 'localityName': 'Salford', 'organizationName': 'COMODO CA Limited', 'commonName': 'COMODO RSA Client Authentication and Secure Email CA'} 2019-01-15 00:11:48,602,root,INFO,| Sertifikat: subject email_address=[],not_valid_before=2013-01-10 00:00:00,not_valid_after=2028-01-09 23:59:59,hash_algorithm=sha384,key_size=2048 bytes, issuer={'countryName': 'GB', 'stateOrProvinceName': 'Greater Manchester', 'localityName': 'Salford', 'organizationName': 'COMODO CA Limited', 'commonName': 'COMODO RSA Certification Authority'} 2019-01-15 00:11:48,616,root,INFO,| file ditulis ./bob.lumreeker@gmail.com.crt,bytes=1870,ok=True

Untuk pemeriksaan cepat, cari baris terakhir – jika tertulis “file ditulis”, maka Anda berhasil. Sisanya menunjukkan proses pemeriksaan DKIM dan validasi sertifikat.

3. Pengaturan SparkPost inbound relay webhooks

Pertama, kami memilih domain untuk digunakan sebagai alamat pesan masuk kami –  di sini, akan menjadi inbound.thetucks.com. Atur domain Anda mengikuti panduan ini. Berikut adalah langkah-langkah yang saya gunakan secara detail:

3.1 Tambahkan Catatan MX

Anda akan memerlukan akses ke akun Penyedia Layanan Internet (ISP) tertentu Anda. Setelah selesai, Anda dapat memeriksanya dengan dig – berikut adalah perintah untuk domain saya.

dig +short MX inbound.thetucks.com

Anda seharusnya melihat:

10 rx3.sparkpostmail.com. 10 rx1.sparkpostmail.com. 10 rx2.sparkpostmail.com.

3.2 Buat Domain Masuk

Gunakan SparkPost Postman API collection, memilih Inbound Domains / Create .. call. Badan permintaan POST berisi domain Anda, contohnya:

{    "domain": "inbound.thetucks.com" }

Postman desktop application with an open tab displaying a 'Create an Inbound Domain' API request, featuring fields such as domain input, several header options, and a JSON payload, aimed at testing and automating API workflows.


3.3 Buat Relay Webhook

Buat relay webhook masukan menggunakan panggilan Postman yang relevan. Badan pesan dalam kasus saya berisi:

{ "name": "Certificate Collection Webhook", "target": "https://app.trymsys.net:8855/", "auth_token": "t0p s3cr3t t0k3n", "match": { "protocol": "SMTP", "domain": "inbound.thetucks.com" } }

Seperti disebutkan sebelumnya, saya merekomendasikan mengatur auth_token ke nilai rahasia Anda sendiri, seperti yang diatur dalam file webapp.ini di host Anda.

Nilai “target” Anda harus sesuai dengan alamat host dan port TCP di mana Anda akan menghosting aplikasi web.

Nilai “domain” Anda harus sesuai dengan catatan MX yang diatur pada langkah 1.

Postman interface, showing the process of creating a relay webhook with detailed JSON configuration, with sections including request method, parameters, and code snippet.


Selesai! Pengaturan sudah selesai. Anda sekarang seharusnya dapat mengirim sertifikat ke alamat masuk Anda, mereka akan diproses dan muncul di host aplikasi web Anda – dalam hal ini, file bernama bob.lumreeker@gmail.com.crt.

Sekarang Anda dapat mengirim email terenkripsi kepada Bob, menggunakan alat yang dijelaskan dalam bagian 2 dan 3 dari seri ini.

Anda dapat memeriksa isi sertifikat menggunakan:

openssl x509 -inform PEM -in bob.lumreeker\@gmail.com.crt -text -noout

4. Internals: pengecekan DKIM, validasi sertifikat

Aplikasi memeriksa email yang diterima memiliki DKIM yang valid dan memeriksa bahwa sertifikat itu sendiri valid, seperti yang dijelaskan di sini. Ada catatan implementasi di sana juga, dan ide untuk pekerjaan lebih lanjut.

Menyimpulkan…

Kami telah melihat bagaimana kunci publik penerima dapat dikumpulkan dengan mudah menggunakan email ke alamat webhooks inbound relay. Setelah selesai, penerima tersebut dapat menerima pesan mereka dalam bentuk terenkripsi S/MIME.

Itu saja untuk sekarang! Selamat mengirim.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

R

Reach

G

Grow

M

Manage

A

Automate

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.