W tej części przyjrzymy się, jak narzędzie można dostosować do wstrzykiwania strumieni mailowych do lokalnych platform, takich jak PowerMTA i Momentum.
W części 1 zrobiliśmy szybki przegląd S/MIME, przyglądając się podpisywaniu i szyfrowaniu naszych strumieni wiadomości w różnych klientach pocztowych. Część 2 przeprowadziła nas przez proste narzędzie wiersza poleceń do podpisywania i szyfrowania e-maili, a następnie wysyłania ich przez SparkPost.
W tej części przyjrzymy się, jak można dostosować narzędzie do wstrzykiwania strumieni pocztowych do platform lokalnych, takich jak Port25 PowerMTA i Momentum.
OK – zaczynajmy!
1. Wprowadzenie
Instalacja narzędzia, uzyskanie kluczy itp. jest dokładnie taka sama jak wcześniej. Kiedy używasz systemu e-mailowego na miejscu, takiego jak PowerMTA lub Momentum, jesteś już odpowiedzialny za konfigurację domen wysyłających, kluczy DKIM itp. To, co musimy teraz zrobić, to zapewnić jakiś sposób wprowadzenia w pełni sformatowanych wiadomości S/MIME do twoich serwerów.
2. SMTP injekcja w kierunku Port25 PowerMTA
3. SMTP Injection w kierunku Momentum
Momentum obsługuje różne środki wstrzykiwania wiadomości, w tym API i SMTP. SMTP jest metodą używaną tutaj, w kierunku hosta, który już działa na Momentum. Pozostawimy jego konfigurację bez zmian, ponieważ ma już możliwość przyjmowania przychodzących wstrzyknięć z innych zatwierdzonych hostów.
To jest mniejsza wersja konfiguracji produkcyjnej, gdzie węzły „generation” i węzły MTA są oddzielne, ale ściśle połączone za pomocą prywatnej sieci VLAN i load-balancerów, które przenoszą wewnętrzny ruch wstrzykiwania SMTP.
Narzędzia S/MIME są zainstalowane jak wcześniej, a my wstrzykujemy wiadomości na adres hosta SMTP (MTA):
export SMTP_HOST=xx.xx.xx.xx # ustaw tutaj swój własny adres MTA / VIP
Jak wcześniej, mamy już węzeł z kluczem prywatnym nadawcy (steve@thetucks.com.pem) oraz węzłem z kluczem publicznym odbiorcy (steve.tuck@sparkpost.com.crt) na węźle „generation”. Pierwsze linie pliku wiadomości odpowiadają tym adresom.
Wysyłamy wiadomość z węzła „generation” dokładnie tą samą komendą, co wcześniej, a wiadomość pojawia się w inboxie.
./sparkpostSMIME.py tests/fancy-HTML-to-smt.eml --sign --encrypt --send_smtp
Tak jak się spodziewasz, S/MIME również z radością współistnieje z DKIM signing w Momentum.
4. SMTP injection towards SparkPost
W części 2 użyliśmy SparkPost transmissions REST API do wstrzykiwania wiadomości. Oczywiście, możliwe jest również wstrzykiwanie wiadomości do SparkPost za pomocą SMTP. Ustawiliśmy zmienne środowiskowe w następujący sposób:
export SMTP_PASSWORD=<<TWÓJ KLUCZ API TUTAJ>> export SMTP_HOST=smtp.sparkpostmail.com export SMTP_USER=SMTP_Injection export SMTP_PORT=587
Jeśli używasz usługi SparkPost hostowanej w UE, ustaw SMTP_HOST jako smtp.eu.sparkpostmail.com.
(Zobacz tutaj więcej opcji – na przykład można wstrzykiwać na porcie 2525 zamiast 587.)
Wynik poniżej pokazuje, że używany jest STARTTLS, wraz z nazwą użytkownika i hasłem.
./sparkpostSMIME.py tests/fancy-HTML-to-smt.eml --sign --encrypt --send_smtp
Zobaczysz:
Otwarte połączenie SMTP (STARTTLS) do smtp.sparkpostmail.com, port 587, user="SMTP_Injection", password="****************************************" Wysyłanie tests/fancy-HTML-to-smt.eml Od: Steve <steve@thetucks.com> Do: SteveT <steve.tuck@sparkpost.com> OK - w 0,057 sekund
Hasło jest drukowane z zamiennikami *** znaków, więc nie kompromitujesz prywatności swojego klucza, jeśli ktoś patrzy ci przez ramię.
Zabezpieczanie Twoich Poświadczeń
Pamiętaj, że zmienne środowiskowe mogą być ustawione w pliku skryptu powłoki lub podobnym, aby zaoszczędzić ponowne pisanie. Jeśli tak zrobisz, zadbaj o swoje hasła/klucze API poprzez ograniczenie dostępu do tego pliku tylko dla siebie. Na przykład, jeśli twój plik ustawień poświadczeń nazywa się my_envs.sh, uruchom:
chmod 0700 my_envs.sh
Ostrzeżenia SMTP, które możesz zobaczyć
Wstrzykiwanie SMTP SparkPost jest dość rygorystyczne, tak jak można by się spodziewać po publicznej usłudze. Jeśli nie ustawiłeś numeru portu SMTP, zobaczysz ostrzeżenie:
{'bob.lumreeker@gmail.com': (550, b'5.7.1 relaying denied')}
Jeśli nie ustawiłeś nazwy użytkownika SMTP lub nie ustawiłeś hasła, zobaczysz:
(530, b'5.7.1 Authorization required. Ref. https://developers.sparkpost.com/api/index#header-smtp-relay-endpoints', 'steve@thetucks.com')
Te komunikaty o błędach są po prostu raportowane w takiej formie, w jakiej pochodzą z biblioteki SMTP Pythona, stąd formatowanie.
Który jest szybszy – SMTP czy API?
Szczerze mówiąc, S/MIME raczej nie będzie przypadkiem użycia o dużej skali, ale posiadanie tego samego narzędzia z dwiema opcjami wyjścia to było jak proszenie się o wyścig!
Plik testowy e-mail "Avocado" użyty tutaj ma około 19KB. Powtarzanie testów 10 razy za pomocą pętli bash pokazało, że średnie czasy były podobne dla SMTP i API, około 60 milisekund na wiadomość, co jest całkiem szybkie. W tym przypadku korzystaliśmy z medium instancji EC2 w tym samym regionie hostingowym co SparkPost.com, co jest dobrym sposobem na utrzymanie niskich czasów podróży sieciowej.
Powtarzając to z większym plikiem testowym (577KB), API zajęło około 200 milisekund, podczas gdy SMTP zajęło 280 milisekund na wiadomość – wciąż imponujące dla rozmiaru pliku 30 razy większego. Oczywiście, wyniki mogą się różnić w zależności od lokalizacji, przeciążenia internetu itp., ale wydajność raczej nie będzie problemem.
Jeśli naprawdę potrzebujesz maksymalnej wydajności, dobrym punktem wyjścia byłoby uruchomienie określonej liczby równoczesnych procesów/sesji iniekcji zgodnie z naszymi transmission best practices – np. z zadania superwizora.
