Nella parte 1, abbiamo fatto un veloce tour di S/MIME, esaminando la firma e la crittografia dei nostri flussi di messaggi attraverso una varietà di client di posta. I messaggi S/MIME possono essere firmati (fornendo prova dell'identità del mittente), crittografati (tenendo segreto il corpo del messaggio), o entrambi.
In questa puntata, noi:
Installeremo alcuni semplici strumenti da linea di comando per firmare e crittografare le email
Otterrai la tua chiave / certificato del mittente per la firma
Invierai un messaggio firmato tramite SparkPost, e esaminerai il messaggio ricevuto
Facoltativamente, otterrai il certificato del destinatario per la crittografia
Invierai un messaggio firmato e crittografato tramite SparkPost, e esaminerai il messaggio ricevuto
Prova un utile strumento autonomo "mimeshow" per esaminare i dettagli interni del file email.
OK – iniziamo!
1. Installa gli strumenti
Gli strumenti di dimostrazione sono su Github qui, completi di istruzioni per l'installazione. Potresti notare il logo 'build passing' – Travis e pytest controllano automaticamente lo stato del build. Nota che questi strumenti non sono ufficialmente supportati da SparkPost, ma ho cercato di renderli robusti e facili da usare.
Se hai una certa familiarità con Python e pip, l'installazione dovrebbe sembrare piuttosto familiare. Il Pipfile si occupa automaticamente delle dipendenze esterne per te. Una volta completato, puoi verificare che tutto sia installato eseguendo
./sparkpostSMIME.py -h
Dovresti vedere il testo di aiuto amichevole. Successivamente, dobbiamo...
2. Ottieni la tua chiave mittente / certificato per la firma
3. Invia un messaggio firmato tramite SparkPost
Ora usiamo un vero dominio di invio, impostato secondo la Guida per Nuovi Utenti di SparkPost. Abbiamo i file del certificato e della chiave del mittente nella directory corrente:
steve@thetucks.com.crt steve@thetucks.com.pem
Il file tests/declaration.eml è incluso nel progetto. È solo un file di testo, quindi puoi personalizzare l'indirizzo Da: per adattarlo al tuo dominio di invio e l'indirizzo A: per adattarlo al tuo destinatario di prova. L'inizio del file appare così:
A: Bob <bob.lumreeker@gmail.com> Da: Steve <steve@thetucks.com> Oggetto: Ecco la nostra dichiarazione MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 7bit Content-Language: en-GB When in the Course of human events it becomes necessary …
Imposta la tua chiave API:
export SPARKPOST_API_KEY=<<Inserisci qui la tua chiave API>>
Invia l'email:
./sparkpostSMIME.py tests/declaration.eml --sign --send_api
Vedrai:
Connessione aperta a https://api.sparkpost.com/api/v1 Invio tests/declaration.eml Da: Steve <steve@thetucks.com> A: Bob <bob.lumreeker@gmail.com> OK - in 1.15 secondi
Dopo un secondo circa, l'email arriva nella inbox di Bob. Thunderbird la mostra con un punto rosso sulla busta, indicando una firma del mittente valida.
Successo! Finisci quel caffè, te lo sei guadagnato. Se hai problemi, controlla che il tuo indirizzo Da: nel file email corrisponda al nome dei tuoi file .crt e .pem.
4. Crittografia dei messaggi
Per crittografare un messaggio, è necessario la chiave pubblica del destinatario in formato certificato. Questo è un file di testo che appare così:
Bag Attributes friendlyName: s COMODO CA Limited ID #2 localKeyID: 32 84 AB 9C 56 5C 80 C6 89 4D 40 46 DD D4 7C 71 E8 CD ED C1 subject=/emailAddress=bob.lumreeker@gmail.com issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Client Authentication and Secure Email CA -----BEGIN CERTIFICATE----- sembra caratteri casuali qui -----END CERTIFICATE-----
C’è un certificato destinatario fittizio per bob@example.com nella directory dei test, quindi puoi esercitarti con esso prima di avere un vero certificato:
cd tests ../sparkpostSMIME.py example_email1.eml --sign --encrypt
Vedrai:
Noterai che la lunghezza dell'output è un po' più lunga rispetto a un messaggio crittografato perché contiene molte informazioni extra oltre al messaggio criptato stesso.
4.1 Inviare un messaggio crittografato e firmato tramite SparkPost
Invieremo un messaggio crittografato a un vero indirizzo email. Puoi seguire lo stesso processo di prima (autofirmato o tramite un provider come Comodo) per ottenere una chiave pubblica / certificato per i tuoi indirizzi del destinatario. Hai solo bisogno del file .crt - il destinatario non deve mai darti la sua chiave privata (file .p12 e .pem).
Ho il file bob.lumreeker@gmail.com.crt per il mio destinatario previsto – corrispondente all'indirizzo Da: nel mio file.
Ecco il comando per inviare:
./sparkpostSMIME.py tests/declaration.eml --sign --encrypt --send_api
Vedo:
Aperta connessione a https://api.sparkpost.com/api/v1 Invio tests/declaration.eml Da: Steve <steve@thetucks.com> A: Bob <bob.lumreeker@gmail.com> OK - in 1.168 secondi
La posta appare in Thunderbird con l'icona di firma con il “punto rosso” e l'icona crittografata con il “lucchetto”.
Puoi inviare email complesse basate su HTML con link e immagini altrettanto facilmente, come quella mostrata nella Parte 1. Alcuni client come Thunderbird chiedono permesso per visualizzare link esterni e immagini all'interno di messaggi S/MIME crittografati, ma i messaggi solo firmati vengono visualizzati bene nei client incluso Thunderbird e Gmail:
Nota che il menu a discesa mostra “Indirizzo email verificato”.
Ulteriori pensieri e cose di cui essere consapevoli
Questo strumento adotta un approccio super-semplice per ottenere le chiavi necessarie – cerca semplicemente file nominati nella directory corrente. Arrangiamenti più complessi, come mantenere tutte le chiavi in un database, potrebbero essere facilmente aggiunti, ma volevo che il codice fosse il più semplice possibile.
Puoi includere altri destinatari con Cc: e Bcc: e verranno consegnati; questo potrebbe essere utile per scopi di archiviazione. I messaggi firmati vengono ricevuti e possono essere visualizzati da altri destinatari completi di firma. Lo strumento rimuove l'intestazione Bcc: dal messaggio consegnato (come farebbe un client di posta desktop).
Per garantire che i messaggi passino attraverso SparkPost inalterati (il che potrebbe interrompere la firma), lo strumento imposta le opzioni API per mailing "transactional", con monitoraggio delle aperture e dei clic disabilitato.
Se utilizzi la crittografia, tieni presente che lo strumento rileva il singolo indirizzo To: per quello. Gli altri destinatari possono decodificare il corpo del messaggio solo se dispongono della chiave privata del destinatario To:. Se stai solo usando destinatari secondari come record di consegne effettuate, ad esempio, potrebbe comunque andare bene.
Firmato, sigillato consegnato... sono tuo
Questo è il nostro rapido riepilogo su come firmare, sigillare e consegnare messaggi S/MIME tramite SparkPost. Promemoria rapido: il progetto dimostrativo è su Github qui, ho cercato di renderlo facile da installare e usare.
Funzionalità bonus: visualizzare le parti MIME con "mimeshow"
I file multipart RFC822 MIME sono piuttosto complessi da leggere per gli esseri umani. Il progetto include uno strumento autonomo per rendere questo più semplice, chiamato mimeshow.
Questo prende qualsiasi file email che hai (non solo quelli S/MIME) e mostra la struttura interna. Ecco un esempio:
./mimeshow.py testcases/img_and_attachment.eml
Vedrai:
Puoi anche usare come filtro per fornire un riepilogo leggibile da umano dell'output di sparkpostSMIME:
./sparkpostSMIME.py tests/declaration.eml --sign --encrypt | ./mimeshow.py
Vedrai:
Finalmente…
Per ricapitolare – abbiamo installato alcuni semplici strumenti da riga di comando per firmare e criptare le email (il repository Github è qui, completo di istruzioni per l'installazione).
Abbiamo ottenuto la nostra chiave / certificato del mittente per la firma, e inviato un messaggio firmato tramite SparkPost. Abbiamo ottenuto un certificato del destinatario per la crittografia, quindi inviato un messaggio firmato e criptato tramite SparkPost.
Infine, abbiamo provato lo strumento autonomo “mimeshow” per esaminare l'interno dei file email.
È tutto per ora! A presto!
