In deel 1 hebben we een snelle rondleiding gehad van S/MIME, waarbij we keken naar het ondertekenen en versleutelen van onze berichtenstromen over een reeks e-mailclients. S/MIME-berichten kunnen worden ondertekend (wat bewijs geeft van de identiteit van de afzender), versleuteld (waardoor de inhoud van het bericht geheim blijft), of beide.
In deze aflevering gaan we:
Een paar eenvoudige opdrachtregelhulpmiddelen installeren voor het ondertekenen en versleutelen van e-mail
Uw verzendersleutel / certificaat verkrijgen voor ondertekening
Een ondertekend bericht verzenden via SparkPost en het ontvangen bericht bekijken
Optioneel, het certificaat van uw ontvanger verkrijgen voor versleuteling
Een ondertekend en versleuteld bericht verzenden via SparkPost en het ontvangen bericht bekijken
Een handige standalone tool "mimeshow" proberen om het interne e-mailbestand te bekijken.
OK – laten we beginnen!
1. Installeer de tools
De demonstratietools zijn in Github hier, compleet met installatie-instructies. U zult misschien het “build passing” logo opmerken – Travis en pytest controleren automatisch de buildstatus. Let op: deze tools worden niet officieel ondersteund door SparkPost, maar ik heb geprobeerd ze robuust en gebruiksvriendelijk te maken.
Als je enige bekendheid hebt met Python en pip, zou de installatie vrij bekend moeten aanvoelen. De Pipfile zorgt automatisch voor de externe afhankelijkheden voor u. Zodra het klaar is, kunt u alles controleren door
./sparkpostSMIME.py -h
De vriendelijke helpttekst zou zichtbaar moeten zijn. Vervolgens moeten we…
2. Haal uw verzendersleutel / certificaat op voor ondertekening
3. Verstuur een ondertekend bericht via SparkPost
Laten we nu een echt verzendend domein gebruiken, zoals beschreven in de SparkPost Nieuwe Gebruikershandleiding. We hebben het verzender certificaat en de sleutelbestanden in de huidige directory:
steve@thetucks.com.crt steve@thetucks.com.pem
Het bestand tests/declaration.eml is opgenomen in het project. Het is slechts een tekstbestand, dus je kunt het From:-adres aanpassen aan je eigen verzenddomein en het To:-adres aan je testontvanger. Het begin van het bestand ziet er als volgt uit:
To: Bob <bob.lumreeker@gmail.com> From: Steve <steve@thetucks.com> Onderwerp: Hier is onze verklaring MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 7bit Content-Language: en-GB Wanneer in de loop van menselijke gebeurtenissen het noodzakelijk wordt…
Stel je API-sleutel in:
export SPARKPOST_API_KEY=<<Plaats hier je API-sleutel>>
Verzend de e-mail:
./sparkpostSMIME.py tests/declaration.eml --sign --send_api
Je zult zien:
Geopende verbinding met https://api.sparkpost.com/api/v1 Verzenden van tests/declaration.eml From: Steve <steve@thetucks.com> To: Bob <bob.lumreeker@gmail.com> OK - in 1,15 seconden
Een seconde of zo later, komt de e-mail aan in Bob’s inbox. Thunderbird toont het met een rode stip op de envelop, wat een geldige verzendershandtekening aangeeft.
Succes! Drink die koffie op, je hebt het verdiend. Als je problemen ondervindt, controleer of het From:-adres in het e-mailbestand overeenkomt met de naam van je .crt en .pem bestanden.
4. Berichten versleutelen
Om een bericht te versleutelen, heeft u de openbare sleutel van uw ontvanger nodig in certificaatvorm. Dit is een tekstbestand dat er zo uitziet:
Bag Attributes friendlyName: s COMODO CA Limited ID #2 localKeyID: 32 84 AB 9C 56 5C 80 C6 89 4D 40 46 DD D4 7C 71 E8 CD ED C1 subject=/emailAddress=bob.lumreeker@gmail.com issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Client Authentication and Secure Email CA -----BEGIN CERTIFICATE----- ziet eruit als willekeurige tekens hier -----END CERTIFICATE-----
Er is een dummy ontvanger certificaat voor bob@example.com in de tests directory, zodat u ermee kunt oefenen voordat u een echt certificaat heeft:
cd tests ../sparkpostSMIME.py example_email1.eml --sign --encrypt
U zult zien:
U zult opmerken dat de lengte van de uitvoer aanzienlijk langer is dan bij een versleuteld bericht omdat het veel extra informatie bevat evenals het gescramblede bericht zelf.
4.1 Een versleuteld, ondertekend bericht verzenden via SparkPost
Laten we een versleuteld bericht naar een echt e-mailadres sturen. U kunt hetzelfde proces volgen als voorheen (zelfondertekend of van een provider zoals Comodo) om een openbare sleutel/certificaat voor uw eigen ontvangeradressen te verkrijgen. U heeft slechts het .crt bestand nodig – de ontvanger hoeft u nooit hun privé sleutel te geven (.p12 en .pem bestanden).
Ik heb het bestand bob.lumreeker@gmail.com.crt voor mijn beoogde ontvanger – die overeenkomt met het Van: adres in mijn bestand.
Hier is het commando om te verzenden:
./sparkpostSMIME.py tests/declaration.eml --sign --encrypt --send_api
Ik zie:
Verbinding geopend naar https://api.sparkpost.com/api/v1 Verzenden tests/declaration.eml Van: Steve <steve@thetucks.com> Naar: Bob <bob.lumreeker@gmail.com> OK - in 1.168 seconden
De e-mail verschijnt in Thunderbird met het “rode stip” handtekeningpictogram en het “slot” versleutelde pictogram.
U kunt net zo gemakkelijk complexe op HTML-gebaseerde e-mail verzenden met links en afbeeldingen zoals die in Deel 1 worden getoond. Sommige clients zoals Thunderbird vragen toestemming om externe links en afbeeldingen weer te geven in versleutelde S/MIME berichten, maar alleen-ondertekende berichten worden goed weergegeven in clients zoals Thunderbird en Gmail:
Let op het drop-down menu dat “Geverifieerd e-mailadres” toont.
Verdere gedachten en zaken om op te letten
Dit hulpmiddel neemt een super-simpele benadering bij het ophalen van de noodzakelijke sleutels - het zoekt gewoon naar benoemde bestanden in de huidige directory. Meer complexe arrangementen, zoals het opslaan van alle sleutels in een database, kunnen eenvoudig worden toegevoegd, maar ik wilde dat de code zo eenvoudig mogelijk zou zijn.
U kunt andere ontvangers opnemen met Cc: en Bcc: en ze zullen worden afgeleverd; dit kan nuttig zijn voor archiveringsdoeleinden. Ondertekende berichten worden ontvangen en kunnen door andere ontvangers worden weergegeven, compleet met de handtekening. Het hulpmiddel verwijdert de Bcc:-kop van het afgeleverde bericht (zoals een desktop e-mailclient zou doen).
Om ervoor te zorgen dat berichten ongewijzigd door SparkPost worden verzonden (wat ondertekening kan verbreken), stelt het hulpmiddel API-opties in voor "transactional" mailing, met tracking van openen en klikken uitgeschakeld.
Als u encryptie gebruikt, houd er dan rekening mee dat het hulpmiddel het enkele To:-adres hiervoor oppikt. De andere ontvangers kunnen de inhoud van het bericht alleen decoderen als ze de private sleutel van de To:-ontvanger hebben. Als u bijvoorbeeld secundaire ontvangers alleen als registratie van gemaakte leveringen gebruikt, kan dat toch prima zijn.
Getekend, verzegeld, bezorgd... ik ben van jou
Dat is ons snelle overzicht van hoe u S/MIME-berichten via SparkPost kunt ondertekenen, verzegelen en bezorgen. Snelle herinnering: het demoproject staat op Github hier, ik heb geprobeerd het gemakkelijk te installeren en te gebruiken.
Bonusfunctie: het weergeven van MIME-onderdelen met "mimeshow"
RFC822 MIME multipart-bestandsinternals zijn behoorlijk complex om door mensen te lezen. Het project bevat een zelfstandig hulpmiddel om dit makkelijker te maken, genaamd mimeshow.
Dit neemt elk e-mailbestand dat je hebt (niet alleen S/MIME-bestanden) en toont de interne structuur. Hier is een voorbeeld:
./mimeshow.py testcases/img_and_attachment.eml
Je zult zien:
Je kunt het ook gebruiken als een filter om een menselijk leesbare samenvatting van sparkpostSMIME-uitvoer te geven:
./sparkpostSMIME.py tests/declaration.eml --sign --encrypt | ./mimeshow.py
Je zult zien:
Eindelijk…
Samenvatting – we hebben enkele eenvoudige command-line tools geïnstalleerd voor het ondertekenen en versleutelen van e-mail (de Github-repository is hier, compleet met installatie-instructies).
We hebben onze verzender sleutel / certificaat voor ondertekening gekregen, en een ondertekend bericht verzonden via SparkPost. We hebben een ontvanger certificaat voor versleuteling verkregen, en toen een ondertekend en versleuteld bericht verzonden via SparkPost.
Ten slotte hebben we de handige zelfstandige tool “mimeshow” geprobeerd om te kijken naar de interne structuur van e-mailbestanden.
Dat is het voor nu! In ons volgende deel laten we je zien hoe je deze S/MIME mogelijkheden kunt uitbreiden naar on-premises veilige e-mailplatforms zoals PowerMTA en Momentum. Tot gauw!
