Reach

Grow

Manage

Automate

Reach

Grow

Manage

Automate

S/MIME Bagian 3: Plug and Play untuk Email Aman di Tempat

Email

1 min read

S/MIME Bagian 3: Plug and Play untuk Email Aman di Tempat

Email

1 min read

S/MIME Bagian 3: Plug and Play untuk Email Aman di Tempat

Dalam bagian ini, kami akan melihat bagaimana alat ini dapat disesuaikan untuk menyuntikkan aliran email ke platform lokal seperti PowerMTA dan Momentum.

Di bagian 1, kami melakukan tur singkat tentang S/MIME, melihat penandatanganan dan enkripsi aliran pesan kami di berbagai klien surat. Bagian 2 menuntun kita melalui alat baris perintah sederhana untuk menandatangani dan mengenkripsi email, kemudian mengirimkannya melalui SparkPost.

Di bagian ini, kita akan melihat bagaimana alat ini dapat disesuaikan untuk menyuntikkan aliran surat ke dalam platform lokal seperti Port25 PowerMTA dan Momentum.

OK – mari kita mulai!

1. Memulai

Menginstal alat, mendapatkan kunci Anda, dll. persis sama seperti sebelumnya. Ketika Anda menggunakan sistem email di tempat seperti PowerMTA atau Momentum, Anda sudah bertanggung jawab untuk mengatur domain pengiriman, kunci DKIM, dll. Yang perlu kita lakukan sekarang adalah menyediakan cara untuk menyuntikkan pesan S/MIME yang sudah lengkap ke server Anda.

2. SMTP injection towards Port25 PowerMTA

PowerMTA mendukung berbagai cara injeksi pesan, termasuk direktori "pickup" file, SMTP, dan API. SMTP adalah metode yang digunakan di sini.

Untuk menggambarkan pengaturan paling sederhana, kami akan menginstal alat S/MIME di server yang sama dengan PowerMTA. Kami menyuntikkan pesan ke pendengar, yang secara default terbuka pada port TCP 25, hanya menerima lalu lintas lokal.

ekspor SMTP_HOST=localhost

(Jika Anda lupa langkah tersebut, Anda akan melihat: "Environment var SMTP_HOST not set – stopping" ketika Anda mencoba menjalankannya.)

Kami memiliki kunci pribadi pengirim (steve@thetucks.com.pem) dan kunci publik penerima (steve.tuck@sparkpost.com.crt) yang sudah ada. Baris pertama dari file pesan adalah:

To: SteveT <steve.tuck@sparkpost.com> From: Steve <steve@thetucks.com> Subject: This is a message created using HEML MIME-Version: 1.0 Content-Type: text/html; charset=utf-8 Content-Language: en-GB Content-Transfer-Encoding: 7bit

Kami mengirim pesan dengan:

./sparkpostSMIME.py tests/fancy-HTML-to-smt.eml --sign --encrypt --send_smtp

Kami melihat:

Membuka koneksi SMTP (plain) ke localhost, port 25, user="", password="" Mengirim tests/fancy-HTML-to-smt.eml From: Steve <steve@thetucks.com> To: SteveT <steve.tuck@sparkpost.com> OK - dalam 0.028 detik

Pesan tiba dengan cepat di inbox dan dilaporkan di Mac Mail sebagai ditandatangani dan dienkripsi.

Email from Avocado showing a marketing message with security features enabled, displayed in Mac Mail as signed and encrypted.

Fitur tambahan: DKIM dengan PowerMTA

DKIM cukup mudah dikonfigurasi dan berfungsi dengan baik bersama S/MIME. Langkah-langkahnya adalah:

  • Gunakan situs DKIM Wizard PowerMTA untuk membuat kunci pribadi domain pengirim (dalam kasus saya, mypmta.thetucks.com.pem) dan konten rekaman DNS TXT publik.

  • Siapkan rekaman DNS TXT, dengan pemilih yang dipilih. Misalnya, saya menggunakan pemilih pmta201811. Karakter pemilih yang valid didefinisikan di sini.

  • Tempatkan file mypmta.thetucks.com.pem di server dalam direktori /etc/pmta.

  • Tambahkan yang berikut ini ke dalam /etc/pmta/config saya dan restart layanan pmta. (Di sini, direktif ini ditulis di cakupan global; pada sistem produksi, Anda mungkin lebih suka menambahkannya di bawah virtual-mta saja.)

host-name thetucks.com domain-key pmta201811,*,/etc/pmta/mypmta.thetucks.com.pem <domain *>    dkim-sign yes </domain>

Catatan DNS diperiksa oleh MX Toolbox dan DKIM sekarang aktif.

MX Toolbox interface showing successful DKIM record verification with all tests passing for email authentication security.

PowerMTA mendukung berbagai cara injeksi pesan, termasuk direktori "pickup" file, SMTP, dan API. SMTP adalah metode yang digunakan di sini.

Untuk menggambarkan pengaturan paling sederhana, kami akan menginstal alat S/MIME di server yang sama dengan PowerMTA. Kami menyuntikkan pesan ke pendengar, yang secara default terbuka pada port TCP 25, hanya menerima lalu lintas lokal.

ekspor SMTP_HOST=localhost

(Jika Anda lupa langkah tersebut, Anda akan melihat: "Environment var SMTP_HOST not set – stopping" ketika Anda mencoba menjalankannya.)

Kami memiliki kunci pribadi pengirim (steve@thetucks.com.pem) dan kunci publik penerima (steve.tuck@sparkpost.com.crt) yang sudah ada. Baris pertama dari file pesan adalah:

To: SteveT <steve.tuck@sparkpost.com> From: Steve <steve@thetucks.com> Subject: This is a message created using HEML MIME-Version: 1.0 Content-Type: text/html; charset=utf-8 Content-Language: en-GB Content-Transfer-Encoding: 7bit

Kami mengirim pesan dengan:

./sparkpostSMIME.py tests/fancy-HTML-to-smt.eml --sign --encrypt --send_smtp

Kami melihat:

Membuka koneksi SMTP (plain) ke localhost, port 25, user="", password="" Mengirim tests/fancy-HTML-to-smt.eml From: Steve <steve@thetucks.com> To: SteveT <steve.tuck@sparkpost.com> OK - dalam 0.028 detik

Pesan tiba dengan cepat di inbox dan dilaporkan di Mac Mail sebagai ditandatangani dan dienkripsi.

Email from Avocado showing a marketing message with security features enabled, displayed in Mac Mail as signed and encrypted.

Fitur tambahan: DKIM dengan PowerMTA

DKIM cukup mudah dikonfigurasi dan berfungsi dengan baik bersama S/MIME. Langkah-langkahnya adalah:

  • Gunakan situs DKIM Wizard PowerMTA untuk membuat kunci pribadi domain pengirim (dalam kasus saya, mypmta.thetucks.com.pem) dan konten rekaman DNS TXT publik.

  • Siapkan rekaman DNS TXT, dengan pemilih yang dipilih. Misalnya, saya menggunakan pemilih pmta201811. Karakter pemilih yang valid didefinisikan di sini.

  • Tempatkan file mypmta.thetucks.com.pem di server dalam direktori /etc/pmta.

  • Tambahkan yang berikut ini ke dalam /etc/pmta/config saya dan restart layanan pmta. (Di sini, direktif ini ditulis di cakupan global; pada sistem produksi, Anda mungkin lebih suka menambahkannya di bawah virtual-mta saja.)

host-name thetucks.com domain-key pmta201811,*,/etc/pmta/mypmta.thetucks.com.pem <domain *>    dkim-sign yes </domain>

Catatan DNS diperiksa oleh MX Toolbox dan DKIM sekarang aktif.

MX Toolbox interface showing successful DKIM record verification with all tests passing for email authentication security.

PowerMTA mendukung berbagai cara injeksi pesan, termasuk direktori "pickup" file, SMTP, dan API. SMTP adalah metode yang digunakan di sini.

Untuk menggambarkan pengaturan paling sederhana, kami akan menginstal alat S/MIME di server yang sama dengan PowerMTA. Kami menyuntikkan pesan ke pendengar, yang secara default terbuka pada port TCP 25, hanya menerima lalu lintas lokal.

ekspor SMTP_HOST=localhost

(Jika Anda lupa langkah tersebut, Anda akan melihat: "Environment var SMTP_HOST not set – stopping" ketika Anda mencoba menjalankannya.)

Kami memiliki kunci pribadi pengirim (steve@thetucks.com.pem) dan kunci publik penerima (steve.tuck@sparkpost.com.crt) yang sudah ada. Baris pertama dari file pesan adalah:

To: SteveT <steve.tuck@sparkpost.com> From: Steve <steve@thetucks.com> Subject: This is a message created using HEML MIME-Version: 1.0 Content-Type: text/html; charset=utf-8 Content-Language: en-GB Content-Transfer-Encoding: 7bit

Kami mengirim pesan dengan:

./sparkpostSMIME.py tests/fancy-HTML-to-smt.eml --sign --encrypt --send_smtp

Kami melihat:

Membuka koneksi SMTP (plain) ke localhost, port 25, user="", password="" Mengirim tests/fancy-HTML-to-smt.eml From: Steve <steve@thetucks.com> To: SteveT <steve.tuck@sparkpost.com> OK - dalam 0.028 detik

Pesan tiba dengan cepat di inbox dan dilaporkan di Mac Mail sebagai ditandatangani dan dienkripsi.

Email from Avocado showing a marketing message with security features enabled, displayed in Mac Mail as signed and encrypted.

Fitur tambahan: DKIM dengan PowerMTA

DKIM cukup mudah dikonfigurasi dan berfungsi dengan baik bersama S/MIME. Langkah-langkahnya adalah:

  • Gunakan situs DKIM Wizard PowerMTA untuk membuat kunci pribadi domain pengirim (dalam kasus saya, mypmta.thetucks.com.pem) dan konten rekaman DNS TXT publik.

  • Siapkan rekaman DNS TXT, dengan pemilih yang dipilih. Misalnya, saya menggunakan pemilih pmta201811. Karakter pemilih yang valid didefinisikan di sini.

  • Tempatkan file mypmta.thetucks.com.pem di server dalam direktori /etc/pmta.

  • Tambahkan yang berikut ini ke dalam /etc/pmta/config saya dan restart layanan pmta. (Di sini, direktif ini ditulis di cakupan global; pada sistem produksi, Anda mungkin lebih suka menambahkannya di bawah virtual-mta saja.)

host-name thetucks.com domain-key pmta201811,*,/etc/pmta/mypmta.thetucks.com.pem <domain *>    dkim-sign yes </domain>

Catatan DNS diperiksa oleh MX Toolbox dan DKIM sekarang aktif.

MX Toolbox interface showing successful DKIM record verification with all tests passing for email authentication security.

3. Penyuntikan SMTP Menuju Momentum

Momentum mendukung berbagai cara penyuntikan pesan, termasuk API dan SMTP. SMTP adalah metode yang digunakan di sini, menuju ke host yang sudah menjalankan Momentum. Kami akan membiarkan konfigurasinya tidak berubah, karena sudah memiliki kemampuan untuk menerima penyuntikan yang masuk dari host lain yang disetujui.

Ini adalah versi yang lebih kecil dari pengaturan produksi, di mana node "generation" dan node MTA terpisah, namun terkait erat melalui VLAN pribadi dan load-balancer, membawa lalu lintas penyuntikan SMTP internal.


Diagram showing email flow from a generation server to on-premises MTA (Mail Transfer Agent) via SMTP protocol.


Alat S/MIME dipasang seperti sebelumnya, dan kami akan menyuntikkan pesan ke alamat host SMTP (MTA):

export SMTP_HOST=xx.xx.xx.xx # tentukan alamat MTA/VIP Anda sendiri di sini

Seperti sebelumnya, kami memiliki kunci pribadi pengirim (steve@thetucks.com.pem) dan kunci publik penerima (steve.tuck@sparkpost.com.crt) yang sudah ada di node "generation". Baris pertama dari file pesan sesuai dengan alamat ini.

Kami mengirim pesan dari node "generation" dengan perintah yang persis sama seperti sebelumnya, dan pesan tersebut muncul di dalam inbox.

./sparkpostSMIME.py tests/fancy-HTML-to-smt.eml --sign --encrypt --send_smtp

Seperti yang Anda harapkan, S/MIME juga dengan senang hati berkoeksistensi dengan DKIM signing Momentum.

4. Injeksi SMTP terhadap SparkPost

Di bagian 2 kami menggunakan SparkPost transmissions REST API untuk menyuntikkan pesan. Tentu saja, juga dimungkinkan untuk menyuntikkan pesan ke SparkPost menggunakan SMTP. Kami menetapkan variabel lingkungan seperti ini:

export SMTP_PASSWORD=<<YOUR API KEY HERE>> export SMTP_HOST=smtp.sparkpostmail.com export SMTP_USER=SMTP_Injection export SMTP_PORT=587

Jika Anda menggunakan layanan SparkPost yang dihosting di UE, maka atur SMTP_HOST sebagai smtp.eu.sparkpostmail.com.
(Lihat di sini untuk lebih banyak opsi – misalnya, Anda dapat menyuntikkan pada port 2525 alih-alih 587.)

Output di bawah ini menunjukkan bahwa STARTTLS digunakan, bersama dengan nama pengguna dan kata sandi.

./sparkpostSMIME.py tests/fancy-HTML-to-smt.eml --sign --encrypt --send_smtp

Anda akan melihat:

Terbuka koneksi SMTP (STARTTLS) ke smtp.sparkpostmail.com, port 587, user="SMTP_Injection", password="****************************************" Mengirim tests/fancy-HTML-to-smt.eml From: Steve <steve@thetucks.com> To: SteveT <steve.tuck@sparkpost.com> OK - dalam 0.057 detik

Kata sandi dicetak dengan menggantikan karakter ***, sehingga Anda tidak membahayakan privasi kunci Anda jika seseorang melihat dari belakang Anda.

Mengamankan Kredensial Anda

Perhatikan bahwa variabel lingkungan dapat disiapkan dalam file skrip shell atau yang serupa, untuk menghemat pengetikan ulang. Jika Anda melakukannya, tolong jaga kata sandi/kenyataan API Anda dengan membatasi akses ke file itu untuk diri Anda sendiri saja. Sebagai contoh, jika file pengaturan kredensial Anda bernama my_envs.sh, maka jalankan:

chmod 0700 my_envs.sh

Peringatan Terkait SMTP yang Mungkin Anda Lihat

Injeksi SMTP SparkPost cukup ketat, seperti yang Anda harapkan dari layanan publik. Jika Anda belum menetapkan nomor port SMTP, Anda akan melihat peringatan:

{'bob.lumreeker@gmail.com': (550, b'5.7.1 relaying denied')}

Jika Anda belum menetapkan nama pengguna SMTP atau belum menetapkan kata sandi, Anda akan melihat:

(530, b'5.7.1 Authorization required. Ref. https://developers.sparkpost.com/api/index#header-smtp-relay-endpoints', 'steve@thetucks.com')

Pesan kesalahan ini hanya dilaporkan sebagaimana adanya dari pustaka Python SMTP, oleh karena itu formatnya.

Yang mana yang lebih cepat – SMTP atau API?

Sejujurnya, S/MIME kemungkinan besar bukan merupakan kasus penggunaan dengan volume tinggi, tetapi memiliki alat yang sama dengan dua opsi keluaran hanya meminta kami untuk menjalankan balapan!

Berkas uji email “Avocado” yang digunakan di sini kira-kira berukuran 19KB. Mengulangi pengujian 10 kali melalui loop bash menunjukkan waktu rata-rata yang serupa untuk SMTP dan API, sekitar 60 milidetik per pesan, yang cukup cepat. Dalam kasus ini, kami menyuntik dari instans EC2 medium di region hosting yang sama dengan SparkPost.com, yang merupakan cara yang baik untuk menjaga waktu perjalanan jaringan rendah.

Mengulangi ini dengan berkas uji yang lebih besar (577KB), API memakan waktu sekitar 200 milidetik, sementara SMTP memakan waktu 280 milidetik per pesan – tetap mengesankan untuk ukuran berkas yang 30x lebih besar. Tentu saja, hasilnya dapat bervariasi tergantung pada lokasi, kemacetan internet, dll, tetapi kinerja kemungkinan tidak akan menjadi masalah.

Jika Anda benar-benar memerlukan kinerja maksimum, titik awal yang baik adalah meluncurkan sejumlah proses/sesi injeksi serentak sesuai rekomendasi transmission best practices kami – misalnya dari tugas supervisor.

Merangkum …

Kami telah melihat bagaimana alat berbasis API SparkPost yang digunakan di Bagian 2 diperbarui untuk mendukung injeksi SMTP untuk mendukung MTAs lokal seperti Port25 PowerMTA dan Momentum dalam berbagai konfigurasi, serta dengan SparkPost.

Itu saja untuk sekarang! Selamat mengirim.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

Mari hubungkan Anda dengan pakar Bird.
Lihat kekuatan penuh dari Bird dalam 30 menit.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.

R

Reach

G

Grow

M

Manage

A

Automate

Perusahaan

Newsletter

Tetap terinformasi dengan Bird melalui pembaruan mingguan ke kotak masuk Anda.

Dengan mengirimkan, Anda setuju Bird dapat menghubungi Anda tentang produk dan layanan kami.

Anda dapat berhenti berlangganan kapan saja. Lihat Pernyataan Privasi Bird untuk detail tentang pemrosesan data.