W części 1 mieliśmy szybką wycieczkę po S/MIME, przyglądając się podpisywaniu i szyfrowaniu naszych strumieni wiadomości w różnych klientach pocztowych. Wiadomości S/MIME mogą być podpisywane (co daje dowód tożsamości nadawcy), szyfrowane (utrzymując treść wiadomości w tajemnicy) lub oba.
W tej części, my:
Zainstaluj proste narzędzia wiersza poleceń do podpisywania i szyfrowania e-maili
Uzyskaj klucz/nsertifikujący do podpisywania dla nadawcy
Wyślij podpisaną wiadomość przez SparkPost i spójrz na otrzymaną wiadomość
Opcjonalnie, uzyskaj certyfikat odbiorcy do szyfrowania
Wyślij podpisaną i zaszyfrowaną wiadomość przez SparkPost i spójrz na otrzymaną wiadomość
Wypróbuj przydatne niezależne narzędzie “mimeshow” do przeglądania wewnętrznych plików e-mail.
OK – zaczynajmy!
1. Zainstaluj narzędzia
Narzędzia demonstracyjne są na Github tutaj, wraz z instrukcjami instalacji. Możesz zauważyć logo „build passing” – Travis i pytest automatycznie sprawdzają status kompilacji. Zwróć uwagę, że te narzędzia nie są oficjalnie wspierane przez SparkPost, ale starałem się, aby były odporne i łatwe w użyciu.
Jeśli masz pewne doświadczenie z Pythonem i pip, instalacja powinna wyglądać dość znajomo. Pipfile automatycznie zajmuje się zewnętrznymi zależnościami. Po zakończeniu możesz sprawdzić, czy wszystko zostało zainstalowane, uruchamiając
./sparkpostSMIME.py -h
Powinieneś zobaczyć przyjazny tekst pomocy. Następnie musimy...
2. Uzyskaj swój klucz nadawcy / certyfikat do podpisywania
3. Wyślij podpisaną wiadomość za pośrednictwem SparkPost
Teraz użyjmy prawdziwej domeny wysyłającej, skonfigurowanej zgodnie z New User Guide SparkPost. Posiadamy pliki certyfikatu nadawcy i kluczowe w bieżącym katalogu:
steve@thetucks.com.crt steve@thetucks.com.pem
Plik tests/declaration.eml jest dołączony do projektu. To tylko plik tekstowy, więc możesz dostosować adres From: do swojej własnej domeny wysyłającej oraz adres To: do swojego odbiorcy testowego. Początek pliku wygląda następująco:
To: Bob <bob.lumreeker@gmail.com> From: Steve <steve@thetucks.com> Subject: Here is our declaration MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 7bit Content-Language: en-GB When in the Course of human events it becomes necessary …
Ustaw swój klucz API:
export SPARKPOST_API_KEY=<<Umieść tutaj swój klucz API>>
Wyślij email:
./sparkpostSMIME.py tests/declaration.eml --sign --send_api
Zobaczysz:
Otworzono połączenie z https://api.sparkpost.com/api/v1 Wysyłanie tests/declaration.eml From: Steve <steve@thetucks.com> To: Bob <bob.lumreeker@gmail.com> OK - w 1.15 sekundy
Sekundę lub dwie później, email pojawi się w skrzynce odbiorczej Bob. Thunderbird wyświetla go z czerwoną kropką na kopercie, co oznacza ważny podpis nadawcy.
Sukces! Dokończ tę kawę, zasłużyłeś. Jeśli masz problemy, upewnij się, że twój adres From: w pliku email pasuje do nazwy twojego pliku .crt i .pem.
4. Szyfrowanie wiadomości
Aby zaszyfrować wiadomość, potrzebujesz klucza publicznego swojego odbiorcy w formie certyfikatu. Jest to plik tekstowy, który wygląda następująco:
Atrybuty torby friendlyName: s COMODO CA Limited ID #2 localKeyID: 32 84 AB 9C 56 5C 80 C6 89 4D 40 46 DD D4 7C 71 E8 CD ED C1 subject=/emailAddress=bob.lumreeker@gmail.com issuer=/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Client Authentication and Secure Email CA -----BEGIN CERTIFICATE----- wygląda jak losowe znaki tutaj -----END CERTIFICATE-----
W katalogu tests znajduje się przykładowy certyfikat odbiorcy dla bob@example.com, więc możesz z nim poćwiczyć, zanim będziesz miał prawdziwy certyfikat:
cd tests ../sparkpostSMIME.py example_email1.eml --sign --encrypt
Zobaczysz:
Zauważysz, że długość wyniku jest dość znacznie dłuższa niż w przypadku zaszyfrowanej wiadomości, ponieważ zawiera wiele dodatkowych informacji oraz samą zaszyfrowaną wiadomość.
4.1 Wysyłanie zaszyfrowanej, podpisanej wiadomości przez SparkPost
Wyślijmy zaszyfrowaną wiadomość na prawdziwy adres e-mail. Możesz postępować według tego samego procesu, co wcześniej (samopodpisany lub dostawca taki jak Comodo), aby uzyskać klucz publiczny/certyfikat dla swoich własnych adresów odbiorców. Potrzebny jest tylko plik .crt — odbiorca nigdy nie musi przekazywać Ci swojego klucza prywatnego (pliki .p12 i .pem).
Mam plik bob.lumreeker@gmail.com.crt dla mojego zamierzonego odbiorcy – pasujący do adresu From: w moim pliku.
Oto polecenie do wysłania:
./sparkpostSMIME.py tests/declaration.eml --sign --encrypt --send_api
Widzę:
Nawiązano połączenie z https://api.sparkpost.com/api/v1 Wysłanie tests/declaration.eml Od: Steve <steve@thetucks.com> Do: Bob <bob.lumreeker@gmail.com> OK - w 1,168 sekundach
Poczta pojawia się w Thunderbirdzie z ikoną podpisu „czerwona kropka” i ikoną zaszyfrowania „kłódka”.
Możesz łatwo wysyłać złożone e-maile oparte na HTML z linkami i obrazami, podobnie jak ten pokazany w Części 1. Niektóre klienty, takie jak Thunderbird, proszą o pozwolenie na wyświetlanie zewnętrznych linków i obrazów w zaszyfrowanych wiadomościach S/MIME, ale tylko podpisane wiadomości wyświetlają się dobrze w klientach, takich jak Thunderbird i Gmail:
Zwróć uwagę, że w rozwijanym menu widnieje „Zweryfikowany adres e-mail”.
Dalsze przemyślenia i rzeczy, na które należy zwrócić uwagę
To narzędzie przyjmuje bardzo proste podejście do pobierania niezbędnych kluczy — po prostu szuka nazwanych plików w bieżącym katalogu. Bardziej złożone rozwiązania, takie jak przechowywanie wszystkich kluczy w bazie danych, można łatwo dodać, ale chciałem, aby kod był możliwie jak najprostszy.
Możesz dodać innych odbiorców za pomocą Cc: i Bcc: i zostaną one dostarczone; może to być przydatne do celów archiwalnych. Odbierane są podpisane wiadomości i mogą być wyświetlane przez innych odbiorców wraz z podpisem. Narzędzie usuwa nagłówek Bcc: z dostarczonej wiadomości (tak jak zrobiłby to klient poczty na komputerze).
Aby zapewnić, że wiadomości przechodzą przez SparkPost bez zmian (co mogłoby złamać podpisywanie), narzędzie ustawia opcje API dla wysyłki „transakcyjnej”, z wyłączonym śledzeniem otwarć i kliknięć.
Jeśli używasz szyfrowania, pamiętaj, że narzędzie odbiera pojedynczy adres To: dla tego. Inni odbiorcy mogą dekodować treść wiadomości tylko wtedy, gdy mają klucz prywatny odbiorcy To:. Jeśli używasz drugorzędnych odbiorców tylko jako zapis dostaw, na przykład, to i tak może być w porządku.
Podpisane, zapieczętowane, dostarczone... jestem twój
To nasz szybki przegląd tego, jak podpisywać, pieczętować i dostarczać wiadomości S/MIME przez SparkPost. Krótkie przypomnienie: projekt demonstracyjny znajduje się na Github tutaj, starałem się, aby instalacja i używanie było łatwe.
Funkcja bonusowa: wyświetlanie części MIME za pomocą „mimeshow”
Wewnętrzna struktura plików RFC822 MIME multipart jest dość skomplikowana do odczytania przez ludzi. Projekt obejmuje samodzielne narzędzie ułatwiające to, nazwane mimeshow.
Pozwala to na przetwarzanie dowolnych plików e-mail, które posiadasz (nie tylko tych typu S/MIME) i pokazuje ich wewnętrzną strukturę. Oto przykład:
./mimeshow.py testcases/img_and_attachment.eml
Zobaczysz:
Możesz również użyć jako filtr do podania zrozumiałego dla człowieka podsumowania wyjścia sparkpostSMIME:
./sparkpostSMIME.py tests/declaration.eml --sign --encrypt | ./mimeshow.py
Zobaczysz:
W końcu…
Podsumowując – zainstalowaliśmy kilka prostych narzędzi wiersza poleceń do podpisywania i szyfrowania e-maili (repozytorium Github znajduje się tutaj, wraz z instrukcjami instalacji).
Uzyskaliśmy nasz klucz nadawcy / certyfikat do podpisywania i wysłaliśmy podpisaną wiadomość za pośrednictwem SparkPost. Uzyskaliśmy certyfikat odbiorcy do szyfrowania, a następnie wysłaliśmy podpisaną i zaszyfrowaną wiadomość za pośrednictwem SparkPost.
Na koniec, wypróbowaliśmy wygodne, samodzielne narzędzie „mimeshow” do przeglądania wewnętrznych plików e-mail.
To tyle na teraz! W naszej kolejnej odsłonie pokażemy, jak rozbudować te możliwości S/MIME o lokalne zabezpieczone platformy poczty e-mail, takie jak PowerMTA i Momentum. Do zobaczenia wkrótce!
