Это команда kuvert, которую можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
kuvert - автоматически подписывать и / или шифровать электронные письма в зависимости от получателей
СИНТАКСИС
куверт [-d] [-o] [-r | -k]
ОПИСАНИЕ
Kuvert - это инструмент для защиты целостности и секретности исходящей электронной почты независимо от
вашего почтового клиента и с минимальным взаимодействием с пользователем.
Он читает письма из своей очереди (или принимает сообщения SMTP), анализирует получателей и
решает, кому следует зашифровать и / или подписать почту. Полученное письмо принудительно отправляется в
структура PGP-MIME, определенная в RFC3156 и, наконец, отправленная на ваш исходящий почтовый сервер.
Kuvert использует GnuPG для всех криптографических задач и спроектирован так, чтобы полностью взаимодействовать с
внешние инструменты кэширования секретов.
ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
После запуска куверт периодически сканирует свой каталог очередей и обрабатывает почту из
там; в зависимости от настройки парольной фразы GnuPG kuvert может демонизировать себя. В любом
В этом случае куверт работает вечно до тех пор, пока не будет полностью прекращен.
Поведение Куверта настраивается в основном с помощью файла конфигурации, за исключением
следующие параметры командной строки:
-d Включает режим отладки: дополнительная отладочная информация записывается в STDERR. (Это
независимо от нормального ведения журнала.)
-o Включает однократный режим: куверт не зацикливается вечно, а обрабатывает только текущий
содержимое очереди, а затем закрывается. Куверт также не запускает прослушиватель SMTP в этом
Режим.
-r Указывает запущенному демону kuvert перезагрузить файл конфигурации и связку ключей gpg.
Это эквивалентно отправке SIGUSR1 соответствующему процессу.
-k Указывает работающему демону kuvert корректно завершить работу. Это эквивалентно отправке
SIGTERM к соответствующему процессу.
РАБОТА
При запуске kuvert читает свой файл конфигурации и ваш набор ключей gnugp и запоминает
привязка адресов электронной почты к ключам.
Kuvert затем работает как оболочка вашего агента передачи почты (MTA): вы создаете свой
электронные письма как всегда, но вместо того, чтобы отправлять их напрямую, вы отправляете их в kuvert.
Периодически куверт сканирует свою очередь и обрабатывает все письма в ней. Если ваш брелок
содержит ключ для получателя, куверт зашифрует и подпишет письмо этому получателю.
Если ключ недоступен, kuvert только (очистить / отсоединить) подпишет письмо. Впоследствии
электронное письмо будет отправлено с использованием вашей программы MTA или SMTP.
Электронные письма, подлежащие обработке, могут иметь любую допустимую структуру MIME; куверт распаковывает MIME
структурирует без потерь и переупаковывает (зашифрованную / подписанную) почту в объект PGP / MIME как
описан в RFC3156. Структура письма сохраняется. Покрытие для подписи и шифрования
все содержимое почты, за исключением заголовков верхнего уровня: например,
Заголовок "Subject" будет передан в чистом виде, тогда как любой основной или прикрепленный MIME-объект будет
подписанный / зашифрованный.
Решение о шифровании или подписи может быть отменено для каждого адреса с помощью параметра
файл конфигурации или, что еще более детально, с помощью директив в реальном электронном письме.
Куверту также можно сказать, чтобы он вообще не редактировал электронную почту.
Отправить заявку на Сообщения электронной почты в Куверт
Kuvert в первую очередь полагается на сообщения электронной почты, сбрасываемые в его каталог очереди. Куверт оперирует
только для файлов с числовыми именами. Все, что вы храните в своем каталоге очереди с
такое имя файла будет рассматриваться как содержащее одно электронное письмо в формате RFC2822.
Однако ни один из основных MUA не поддерживает такую схему размещения ваших файлов и, следовательно,
kuvert поставляется с вспомогательной программой kuvert_submit (см. kuvert_submit(1)) который
имитирует поведение отправки почты sendmail, но подает в очередь kuvert. Если ваш MUA может
получить указание запустить программу для отправки почты, можно использовать kuvert_submit.
Как вариант, вы можете отправить письмо на kuvert через SMTP. Kuvert имеет встроенный
почтовый сервер только для приема, который передает данные в каталог очереди. Как позволяя другим
отправлять письма на подпись было бы глупо и опасно, только почтовый сервер куверта
прослушивает IP-адрес localhost и требует, чтобы ваш MUA использовал аутентификацию SMTP для
убедитесь, что принимаются только ваши материалы. Если ваш MUA поддерживает SMTP AUTH PLAIN или
ВОЙТИ и вам может быть сказано использовать localhost и определенный порт для исходящей электронной почты, тогда вы
можно использовать этот механизм.
Транспортировка Сообщения электронной почты далее
Куверт может отправлять исходящие электронные письма, запустив локальную программу MTA или используя SMTP.
на некоторый (фиксированный) сервер исходящей почты по вашему выбору.
Получатели, Тождества и SMTP Конверт
Обычно куверт идентифицирует получателей с помощью заголовков To, Cc, Bcc и Resent-To.
электронная почта в очереди. Если механизм, который вы использовали для отправки письма в куверт, явно установлен
получатели, то эти переопределение заголовки в электронном письме.
Это тот случай, если kuvert_submit вызывается со списком получателей и без опции -t и
для отправки SMTP.
Если куверт ставит электронную почту в очередь через входящий SMTP, конверт SMTP переопределения заголовки писем:
получатели, которые присутствуют в конверте, но не имеют заголовков, рассматриваются как скрытые, и
получатели, указанные в заголовках, но не на конверте, игнорируются. Любой заголовок Resent-To
игнорируется для электронной почты, отправленной через SMTP.
Только если не указаны приоритетные получатели, kuvert проверяет почту на наличие заголовка Resent-To.
Если присутствует, электронное письмо немедленно отправляется на адреса Resent-To. без далее
обработка. (Это стандартное поведение "отказов" для MUA, которые не передают получателей
напрямую на MSP / MTA.)
При отправке исходящей почты kuvert обычно использует заголовок From из сообщения в очереди в качестве
личность. Если письмо было поставлено в очередь через SMTP, конверт снова переопределения заголовки писем.
Обратите внимание, что kuvert устанавливает отправителя конверта с помощью "-f" при отправке электронной почты через локальный MTA.
программа; если ваш MTA недостаточно доверяет вам для этого, ваша почта может получить
Заголовок X-Authentication-Warning, который указывает ваше имя пользователя и тот факт, что
конверт был установлен явно.
Ключевая фраза Управляемость
Kuvert не обрабатывает парольные фразы ваших драгоценных ключей. Вы можете выбрать использование gpg-
агент как хранилище парольных фраз (по запросу или кэширование), либо вы можете указать куверту, какая программа
при необходимости он должен запускаться для запроса ключевой фразы. Такая программа запроса будет запущена в
конвейер к GnuPG, и куверт не будет получать доступ, хранить или кэшировать парольные фразы
сами: есть лучшие варианты для секретного кеширования, например Linux
хранилище ключей в ядре (клавишаctl(1 г.)).
Как Куверт постановляет Что (Нет) к Do
Для каждого получателя куверту можно приказать применить одно из четырех различных действий:
нет
Электронное письмо отправляется как есть (за исключением удаления директивы конфигурации).
только знак
Электронное письмо (четкое / отдельное) подписано.
отступление
Электронное письмо зашифровано и подписано, если для этого получателя доступен ключ или
только подписано.
запасной вариант
Электронное письмо зашифровано и подписано, если доступны ключи для ВСЕ получатели или только
подписано иначе. Получатели, для действия которых установлено значение "Нет", а получатели скрытой копии
не затронутые этим действием.
Резервное действие для всех - это действие по принципу "все или ничего", поскольку шифрование
обеспокоены и гарантирует, что никакая смесь зашифрованных или незашифрованных версий этого электронного письма
рассылаются: если мы можем использовать шифрование для всех, иначе все получают
он подписан (или даже без подписи). (Получатели скрытой копии являются исключением.)
Указание Действия
Куверт использует четыре источника спецификаций действий: директивы в индивидуальном электронном письме.
адреса, директивы действий в файле конфигурации, заголовок X-Kuvert в вашем письме,
и, наконец, действие по умолчанию, указанное в файле конфигурации.
1. Сначала куверт ищет директивы действий в вашем конфигурационном файле. Такие директивы
задаются как действие плюс регулярное выражение для сопоставления с адресом, а
используется первая соответствующая директива.
2. Если соответствующая директива не найдена, действие по умолчанию, указанное в файле конфигурации.
применены.
3. Kuvert теперь проверяет наличие заголовка X-Kuvert: его содержимое должно быть
ключевое слово action, которое применяется ко всем получателям этого письма, кроме тех, чьи
действие на этом этапе - «нет». (Другими словами: если вы укажете "нет"
шифрование / подпись "для некоторых адресов, то это не может быть отменено в бланкете
мода.)
4. Затем Куверт анализирует адрес электронной почты каждого получателя. Если адрес имеет формат
Некоторый текст "действие = какое-то действие"[электронная почта защищена]> ", куверт снимает цитируемую часть и
перекрывает действие адресата некоторым действием.
5. Наконец, куверт проверяет, есть ли у какого-либо получателя действие «резервное копирование». Если да, то куверт
a) проверяет, имеют ли какие-либо получатели (кроме Bcc'd) действие «только подписать» или «нет». Если это
В этом случае все "резервные" и "резервные все" действия переводятся в
"только знак".
б) проверяет, доступны ли ключи для всех получателей (кроме Bcc'd). Если нет, то все
Действия "fallback" и "fallback-all" заменяются на "только подписать".
6. Получатели, указанные в заголовке "Скрытая копия:", всегда обрабатываются независимо и
отдельно от всех остальных: любое "резервное действие" заменяется на "резервное" для
Bcc-адреса, и если используется шифрование, электронная почта шифруется отдельно, так что
в электронном письме, отправленном "обычному", не видно ни одной записи получателя скрытой копии.
получатели. Кроме того, любой заголовок Bcc: удаляется перед отправкой электронного письма.
Основные Выбор
Kuvert зависит от порядка ключей в вашем связке ключей, чтобы определить, какой ключ (из потенциально
many) с заданным адресом следует использовать для шифрования. По умолчанию куверт использует последний
ключ, который он встречает для данного адреса. Для людей, у которых есть несколько ключей для
единый адрес, это может вызвать проблемы, поэтому у kuvert есть механизмы переопределения для
выбор ключа шифрования: вы можете указать ключ для шифрования адреса в
файл конфигурации (см. ниже), или вы можете переопределить выбор ключа для и внутри
одно письмо:
Если адрес получателя указан в формате
Некоторое имя "key = keyid"[электронная почта защищена]>
Куверт удалит часть, заключенную в двойные кавычки, и будет использовать именно этот ключ для этого получателя.
и для этого единственного письма. Keyid должен быть указан как шестнадцатеричный идентификатор ключа. Этот
механизм отменяет любые ассоциации, которые содержит ваш брелок, и должен использоваться с
осторожность. Обратите внимание, что переопределения клавиш и действий могут быть заданы одновременно как один
запись, разделенная запятыми, например:
Некоторое имя "действие = резерв, ключ = 0x12345"[электронная почта защищена]>
Ключ подписи можно переопределить аналогичным образом: если адрес От содержит
"ключ =ключ"stanza, kuvert будет использовать этот ключ для подписи этого единственного письма.
КОНФИГУРАЦИЯ
Файл конфигурации kuvert представляет собой обычный текст, пустые строки и строки, начинающиеся с символа "#", являются
игнорируются.
Конфигурация делится на две категории: параметры и спецификации адреса / действия.
Адрес и Экшн
Спецификации адреса + действия даны по одному в каждой строке. Такие строки должны начинаться с
пробел, за которым следует регулярное выражение адреса, за которым следует пробел и действие
ключевое слово. Для действий «fallback» и «fallback-all» куверт также позволяет указать
один ключевой идентификатор вроде этого: «резерв, 0x42BD645D». Остальная часть строки
игнорируются.
Регулярное выражение адреса является полным регулярным выражением Perl и будет применяться к необработанному SMTP.
адрес (т.е. не к комментарию или имени в адресе электронной почты) без учета регистра. В
регулярное выражение может потребоваться привязать к ^ и $; kuvert не делает этого за вас.
Вы должны указать только ядро регулярного выражения (без m // или //), как в этом примере:
# не путайте роботов со списками рассылки
^. * - запрос @. * $ none
Ключевое слово действия должно быть одним из "none", "signonly", "fallback" или "fallback-all"; видеть
раздел «Как Куверт решает, что (не) делать» для семантики. Порядок действий
спецификации в файле конфигурации имеют большое значение: поиск прекращается при первом совпадении.
Возможности
Параметры указываются по одному в каждой строке, а строки параметров должны начинаться с имени параметра, за которым следует
каким-то пробелом. Все параметры чувствительны к регистру. В зависимости от содержания опции некоторые
или вся оставшаяся часть строки опции будет назначена как значение опции. В линию
комментарии не поддерживаются.
В следующем списке параметров угловые скобки обозначают необходимые аргументы, например:
ключ по умолчанию
Параметры с логическими аргументами распознают «1», «on» и «t» как истинные, а «0», «off»,
«f» как false (плюс их версии в верхнем регистре). Другие варианты более ограничены
типы аргументов; куверт вообще вменяемость проверяет параметры при запуске.
Известный Возможности
системный журнал
Следует ли kuvert использовать syslog для ведения журнала, и если да, то какое средство использовать.
По умолчанию: ничего. Это не зависит от параметра файла журнала ниже.
журнальный файл
Должен ли куверт записывать сообщения журнала в файл, добавляя его. По умолчанию: нет
набор. Это не зависит от указанной выше опции системного журнала.
почта при ошибке
Если kuvert обнаруживает серьезные или фатальные ошибки, на этот адрес будет отправлено письмо, если
набор. По умолчанию: undef. Это электронное письмо отправляется в дополнение к обычному ведению журнала через системный журнал.
или файл журнала.
очередь
Где куверт и его вспомогательные программы хранят письма для обработки. Дефолт:
~ / .kuvert_queue. Каталог создается при необходимости. Каталог должен принадлежать
у юзера запущен куверт и есть режим 0700.
темпдир
Где куверт хранит временные файлы. По умолчанию: каталог с именем
куверт. . в $ TMPDIR или / tmp. Каталог создается при необходимости, и
должен принадлежать пользователю, запускающему kuvert, и иметь режим 0700. Этот каталог
полностью опустошается после обработки электронного письма.
идентифицировать
Должен ли куверт добавлять заголовок X-Mailer в исходящие письма. По умолчанию: false. В
Заголовок X-Mailer состоит из названия и версии программы.
преамбула
Должен ли kuvert включать пояснительную преамбулу в сгенерированное письмо MIME.
По умолчанию: правда
интервал
Это устанавливает интервал проверки очереди в секундах. По умолчанию: 60 секунд.
msserver
Сервер отправки почты для исходящей электронной почты. По умолчанию: не задано. Если это установлено, куверт
будет использовать SMTP для отправки исходящих писем. Если не установлен, куверт использует отправку почты.
программа на локальной машине. См. Msp ниже.
msport
Порт TCP, который прослушивает сервер отправки почты. По умолчанию: 587. Игнорируется, если
msserver не установлен.
ssl
Следует ли использовать SSL или STARTTLS для исходящей отправки SMTP. Стоимость должна
быть либо "starttls" для использования STARTTLS, либо "ssl" для необработанного SSL. SSL-шифрование не используется
если этот параметр не установлен.
SSL-сертификат
ssl-ключ
ssl-ca
Если сертификат клиента SSL должен быть представлен на SMTP-сервер, установите оба ssl-cert
и ssl-ключ. Если ваша общесистемная установка сертификата CA не включает сертификат
ваш SMTP-сервер использует, установите ssl-ca так, чтобы он указывал на файл PEM, содержащий все соответствующие
Сертификаты ЦС. Все это игнорируется, если не задана опция ssl.
msuser
Имя пользователя, которое будет использоваться для аутентификации SMTP на сервере отправки почты. SMTP аутентификация
не выполняется, если не установлен msuser. Игнорируется, если msserver не установлен.
mspass
Пароль для аутентификации SMTP. Игнорируется, если msserver или msuser не установлены.
mspass-from-query-secret
Следует ли получать mspass с помощью программы query-secret вместо
давая mspass в файле конфигурации. Игнорируется, если msserver или msuser не установлены. Если
эта опция установлена, программа query-secret будет использоваться для запроса "smtp-
пароль "при обработке первого письма. Пароль будет кэширован, если
проверка подлинности завершится успешно, или вас снова спросят, пока проверка подлинности не завершится успешно.
msp
Определяет программу, которую куверт должен использовать для доставки электронной почты. Дефолт: "/ usr / sbin / sendmail
-om -oi -oem ". Это игнорируется, если установлен msserver. Аргумент должен включать полный
путь к программе, и программа должна принимать общий почтовый агент передачи
аргументы, как определено в Базе стандартов Linux (см.
<http://refspecs.linux-foundation.org/LSB_2.0.0/LSB-Core/LSB-Core.html# BASELIB-SENDMAIL-1>).
может отделиться
Указывает куверту, что он может сам себя фонить при запуске, отсоединившись от
Терминал. По умолчанию: false.
Отключение работает только в том случае, если выбранный вами механизм ввода ключевой фразы не требует
взаимодействие через исходный терминал. Это тот случай, если вы делегируете парольную фразу
обработку в gpg-agent и настройте его для pinentry X11, или если ваш секретный запрос
Программа - это программа X11 с собственным окном.
мапорт
Куверт может принимать электронную почту для обработки через SMTP. Эта опция устанавливает порт TCP kuvert
слушает (только localhost). По умолчанию: 2587. Игнорируется, если ma-user и ma-pass не совпадают.
оба установлены. Если вы хотите использовать этот механизм, сообщите своей почтовой программе, чтобы она использовала localhost.
или 127.0.0.1 в качестве сервера исходящей почты и включите аутентификацию SMTP (см. ниже).
ма-пользователь
Эта опция устанавливает необходимое имя пользователя для аутентификации SMTP для приема писем через
SMTP. По умолчанию: undef. Куверт не прослушивает отправления SMTP, если оба пользователя не являются ma-user
и ma-pass установлены. Kuvert не принимает электронные письма для обработки через SMTP, если вы
подтвердить свою личность с помощью проверки подлинности SMTP (или кто-либо на вашем локальном компьютере может
используйте куверт для отправки писем, подписанных вами!). Kuvert в настоящее время поддерживает только AUTH PLAIN
и LOGIN (что не является большой проблемой, поскольку мы слушаем только интерфейс обратной петли).
Эта опция устанавливает имя пользователя, которое kuvert распознает как ваше. Это может быть что угодно и
не обязательно должно быть реальное имя учетной записи.
ma-pass
Эта опция устанавливает пароль, который ваш почтовый пользовательский агент должен использовать для аутентификации SMTP, если
отправка писем через SMTP. По умолчанию: не задано. Куверт не слушает SMTP
представления, если не установлены и ma-user, и ma-pass. Этот пароль не обязательно
(на самом деле не должно быть) пароль вашей реальной учетной записи. Обратите внимание, что при использовании отправки SMTP
требует, чтобы вы защищали файл конфигурации kuvert строгими разрешениями (0600
предлагается).
ключ по умолчанию
Задает ключ по умолчанию для использования в качестве ключа подписи. По умолчанию: не задано, что означает, что GnuPG получает
на выбор (обычно это первый доступный секретный ключ). Может быть переопределено в From:
адрес, см. раздел «Выбор ключа».
действие по умолчанию
Какое действие следует предпринять, если для получателя не найдено переопределений. По умолчанию: нет.
См. Раздел «Как Куверт решает, что (не) делать» для ознакомления с распознанными действиями.
всегда
Следует ли указать gpg доверять всем ключам для шифрования или нет. По умолчанию: false.
агент использования
Должен ли kuvert делегировать всю обработку парольной фразы gpg-agent и вызывать gpg
с соответствующими опциями. По умолчанию: false. Если не установлен, куверт спросит пользователя (или
некоторый магазин номинированных парольных фраз) для парольных фраз по запросу.
запрос-секрет
Сообщает куверту, какую программу использовать для получения ключевой фразы. Дефолт: "/ Бен / ш -c
'stty -echo; читать -p \ "Кодовая фраза% s: \" X; \ stty echo; echo $ X '"Игнорируется, если используется-
агент установлен. Kuvert не хранит парольные фразы внутри, а запускает
указанная программа в конвейере с gpg при подписании. Если вы используете хранилище кодовых фраз
(например, keyutils ядра Linux или secret-agent или подобное), введите свой поиск
программа здесь. Программа запускается в среде куверта, первый% s в
спецификация аргумента заменяется шестнадцатеричным идентификатором ключа, а кодовая фраза ожидается на stdout.
Код выхода игнорируется. Если can-detach не установлен, программа имеет доступ к кувертам.
Терминал. Обратите внимание, что программа запросов по умолчанию запрещает куверту работать в фоновом режиме.
себя.
секретный
Эта программа вызывается для аннулирования внешнего кеша парольных фраз, если kuvert
получает уведомление от gpg о том, что кодовая фраза недействительна. По умолчанию: undef. Игнорируется, если используется агент
установлен. Программа запускается в среде kuvert и с первыми% s ее
спецификация аргумента заменяется рассматриваемым шестнадцатеричным идентификатором ключа. Его код выхода игнорируется.
Если can-detach не установлен, программа имеет доступ к терминалу kuvert.
ДИАГНОСТИКИ
Kuvert обычно записывает информационные сообщения в системный журнал и / или в свой собственный файл журнала, оба из которых
можно отключить и отрегулировать.
Если куверт обнаруживает ошибку, которая успешно обрабатывает конкретное письмо
невозможно, куверт сообщит, что на STDERR (если не отсоединен), а также отправит сообщение об ошибке
сообщить, включена ли опция mail-on-error. Такие частично или полностью необработанные
письма остаются в очереди, но переименовываются (к имени добавляется префикс «сбой»); это
вы можете либо удалить такие остатки, либо переименовать их во что-то полностью числовое, как только
проблема решена.
Поведение аналогично, если встречаются фатальные проблемы; после предупреждения куверт будет
заканчиваться кодом выхода 1.
ОКРУЖАЮЩАЯ СРЕДА И СИГНАЛЫ
Сам Kuvert использует только переменную среды: $ TMPDIR предоставляет резервное местоположение
для временного каталога куверта.
Kuvert передает всю свою среду дочерним процессам, а именно gpg и любую парольную фразу.
программы-запросы.
При получении SIGUSR1 куверт перезагружает свой конфигурационный файл и связку ключей. Любой из
SIGHUP, SIGINT, SIGQUIT и SIGTERM приводят к правильному завершению куверта, что делает недействительным
парольные фразы, если используется программа запросов. Все остальные сигналы игнорируются.
Используйте куверт онлайн на сервисах onworks.net
