gpg-remailer – онлайн у хмарі

ПРОГРАМА:

ІМ'Я

gpg-remailer - пересилання повторно зашифрованих/підписаних PGP/GPG зашифрованих/підписаних листів до групи

СИНТАКСИС

gpg-пересилувач [ПАРАЦІЇ]

ОПИС

Gpg-remailer розшифровує отримані повідомлення PGP/GPG, перевіряє отриманий підпис і
повторно шифрує електронну пошту для чітко визначеної групи одержувачів. Gpg-ремейлер також може бути
налаштований для обробки електронної пошти з відкритим текстом.

За допомогою gpg-remailer список членів групи людей, які хочуть обмінюватися, зашифрований
і автентифіковані електронні листи (і, можливо, також текстові повідомлення) можна підтримувати в одному
розташування, дозволяючи учасникам групи вказати лише одну адресу електронної пошти для надсилання
Електронна пошта з підписом PGP/GPG і зашифрована (або необов’язково з відкритим текстом).

Gpg-remailer читає вхідну електронну пошту зі свого стандартного потоку введення.

Якщо вхідна електронна пошта є відкритим текстом, вона повторно надсилає електронну пошту на один або кілька конфігурованих
адреси електронної пошти.

Якщо вхідна електронна пошта зашифрована PGP/GPG (і необов’язково підписана), вона повторно шифрує
отриману інформацію для кожного члена конфігурованої групи та надіслати повторно зашифровану
інформацію на одну або декілька настроюваних адрес електронної пошти.

Сам по собі gpg-remailer не є списком розсилки. Проте налаштована адреса одержувача
може бути, наприклад, адресою списку розсилки для подальшого розповсюдження обробленої електронної пошти.
Gpg-remailer — це a ремейлер: використовує дані повідомлення, але не його заголовки. мати
отримав електронний лист, він повторно надсилає, а не пересилає отриманий електронний лист. Електронна пошта, що
отримано через gpg-remailer, тому містить абсолютно новий набір заголовків електронної пошти.

Для точного налаштування можна використовувати файл конфігурації, а також параметри командного рядка
поведінка gpg-remailer.

ПОВЕРНЕННЯ VALUE

Gpg-remailer завжди повертає 0 операційній системі, щоб запобігти невідомий пошта помилка
повідомлення в журналах MTA. Однак, коли gpg-remailer передчасно завершує роботу, з’являється повідомлення про помилку
записується в стандартний потік помилок.

ВИМОГИ

Щоб використовувати gpg-remailer, необхідно виконати наступні вимоги (усі команди повинні
бути виданий корінь користувач):

o Оскільки кілька груп можуть використовувати gpg-remailer, радимо визначити функціонал
облікові записи, що обробляють електронну пошту, яка буде оброблена gpg-remailer. Функціональний обліковий запис
secmail можна визначити за допомогою такої команди:

adduser --home /var/lib/secmail --disabled-password secmail

o До всіх розташувань, які використовує gpg-remailer, мають бути надані суворі обмеження
дозволи. Наприклад, необхідно встановити функціональні облікові записи умаск 077. Це
відповідальність користувача за правильність прав доступу
налаштовано.

o Розгляньте можливість зробити всі функціональні облікові записи gpg-remailer членами спеціальної групи
(наприклад, gpg-пересилувач) і дозволити виконання /usr/sbin/gpg-remailer тільки мої члени
цієї групи:

addgroup gpg-remailer
adduser secmail gpg-remailer
chown root.gpg-remailer /usr/sbin/gpg-remailer
chmod o-rx /usr/bin/gpg-remailer

o Щоб дозволити функціональному обліковому запису обробляти вхідну електронну пошту Суду(1) можна використовувати. в
файлу / etc / sudoers можна ввести такі рядки (РЕЙСЛЕРИ можна дати a
розділений комами список імен функціональних облікових записів, mailhost.org слід замінити
за назвою хоста, який обробляє вхідну електронну пошту):

Runas_Alias ​​REMAILERS = secmail

пошта mailhost.org=(REMAILERS) NOPASSWD: /usr/sbin/gpg-remailer

Наприклад, якщо gpg-remailer працює на комп’ютері з ім’ям remailer.mydomain.nl що може
отримувати вхідні електронні листи, потім вказати remailer.mydomain.nl та цінності mailhost.org.

o Необхідно вказати адресу електронної пошти, куди потрібно надсилати лист для повторного шифрування.
Ця адреса електронної пошти повинна бути відома членам групи, які хочуть використовувати
gpg-пересилувач. Таким обліковим записом може бути, наприклад, [захищено електронною поштою], виступаючи як a
визначену адресу електронної пошти, наприклад, /etc/mail/aliases. Адреса для цього прикладу
буде введено в /etc/mail/aliases файл (деякі установки використовують
/ etc / aliases) таким чином:

secmail: "|sudo -u secmail /usr/sbin/gpg-remailer"

THE ПСЕВДО КОРИСТУВАЧ PGP KEY КІЛЬЦЯ

o Функціональний обліковий запис повинен мати пару ключів GPG/PGP. Його відкритий ключ повинен
буде розподілено між людьми, яким дозволено надсилати пошту gpg-remailer
(що може бути світом, якщо відкритий ключ опубліковано на сервері ключів PGP). Оскільки
gpg-remailer повинен мати можливість діяти самостійно, секретний ключ не повинен вимагати a
парольна фраза. Ключ можна створити наступним чином (після початкової команди, яка є
визначено корінь, інші команди до фіналу вихід команда в кінці
цього розділу виконуються псевдокористувачем secmail):

su - secmail

gpg --gen-ключ

В gpg --gen-ключ командувати gpg програма запитує деякі деталі. Прийняти
за замовчуванням, якщо у вас немає причин цього не робити, але переконайтеся, що вам не потрібен a
парольна фраза: прес Що натомість? Створіть віртуальну версію себе у двічі, коли попросили один.

Дещо додатковий пропозиції:

o Деталі для визначення ключа PGP без пароля:

визначте стандартний ключ RSA, розмір 2048, термін дії якого ніколи не закінчується
справжнє ім'я: функціональний обліковий запис secmail gpg-remailer
адреса електронної пошти: [захищено електронною поштою]
Парольна фраза не потрібна: двічі натисніть Enter.

o Вкажіть ідентифікатор ключа щойно створеного gpg-ключа як типовий ключ у файлі
~/.gnupg/gpg.conf (Або ~/.gnupg/параметри, залежно від того, що використовується). наприклад,

ключ за замовчуванням 1234ABCD

o Також додайте рядок, що містить

сила-mdc

до ~/.gnupg/gpg.conf. Це запобігає попередженню

ПОПЕРЕДЖЕННЯ: повідомлення не було захищено цілісністю

o Якщо ви хочете дозволити неучасникам групи надсилати електронну пошту gpg-remailer, подумайте про це
додавання специфікації ключового сервера ~/.gnupg/gpg.conf а також дозволити
автоматичний пошук відсутніх відкритих ключів. Наприклад, додайте рядок типу

сервер ключів keys.gnupg.net

до ~/.gnupg/gpg.conf.

o Наступне використання gpg --клавіші пошуку, gpg --ключі recv or gpg --імпорт (Див gpg(1)
man-сторінку для необхідних форматів цих команд), щоб уже додати відкриті ключі
усіх членів групи, які використовуватимуть gpg-remailer для псевдокористувача
відкритий брелок.

o Якщо існує учасник групи, який підписав ключі GPG/PGP усіх інших учасників, тоді
повністю довіряйте цьому учаснику, щоб запобігти попередженню в результаті використання
ненадійні ключі.

o Після створення пари ключів GPG gpg-remailer надайте
відкритий ключ для членів групи. Ці члени повинні імпортувати відкритий ключ
і їм слід порадити підписати відкритий ключ розсилувача, щоб запобігти попередженням
про використання неперевіреного відкритого ключа. Відкритий ключ ремейлера можна експортувати
для файлу за допомогою

gpg --armor --export secmail > secmail.pub

і учасники групи можуть імпортувати відкритий ключ ремейлера за допомогою:

gpg --import secmail.pub

o Коли новий учасник додається до групи, він/вона має додати відкритий ключ ремейлера
до його/її кільця відкритих ключів і надати свій відкритий ключ для імпорту в
кільце відкритих ключів функціонального облікового запису.

o Gpg-remailer вимагає наявності файлу конфігурації та каталогу
зберігати тимчасові файли. Див. розділ КОНФІГУРАЦІЯ Фото нижче.

o Підготувавши ключі PGP псевдокористувача, команда вихід повертає вас до
корінь сеанс користувача.

ВАРІАНТИ

Якщо доступно, варіанти з однієї літери перераховані між дужками після їх
пов'язані варіанти з довгим опціоном. Варіанти з однієї літери вимагають аргументів, якщо вони є
пов'язані довгі параметри також вимагають аргументів.

o --відлагоджувати (-d)
Якщо вказано, повідомлення про налагодження реєструються у файлі журналу (див. нижче). Коли це
Якщо вказано параметр, файли, записані gpg-remailer, не видаляються після
gpg-remailer обробив вхідний електронний лист.

o --допомога (-h)
Короткий підсумок використання відображається на стандартному виводі, після чого
gpg-remailer завершує роботу.

o --файл журналу=ім'я файлу (-l)
Визначає файл, у який записуються повідомлення журналу gpg-remailer (за замовчуванням
~/etc/gpg-remailer.log).

o --loglevel=рівень (-L)
LogLevel 0 забезпечує розширений вихід налагодження, а також усі інші повідомлення журналу;
LogLevel 1 реєструє виконані команди та повідомлення за замовчуванням;
LogLevel 2 реєструє повідомлення за замовчуванням (характеристики вхідних і вихідних
електронна пошта) (за замовчуванням);
Більш високі рівні пригнічують журналювання.

o --член=PGP електронна пошта адреса (-m)
Адреса електронної пошти з ключем PGP для повторного шифрування повідомлення. Замінює член(ів)
перераховані у файлі конфігурації. Цей параметр можна вказати кілька разів
у командному рядку необхідно вказати кілька учасників. З кожним --член варіант
вкажіть лише одну адресу електронної пошти (наприклад, [захищено електронною поштою]. Цей формат не є
Перевірено gpg-пересилувач, але недотримання може призвести до gpg-пересилувач буття
неможливість повторного шифрування або електронної пошти. The --член специфікації також можуть бути
використовується для визначення набору адрес конвертів електронної пошти, звідки надходить електронна пошта з відкритим текстом
прийнято, використовуючи в конверт: членів та відкритий текст: конверт файл конфігурації
технічні умови.

o --noMail
Якщо вказано, пошта не надсилається.

o --nr=номер файлу (-n)
Файли, створені gpg-remailer під час обробки вхідних електронних листів, зберігаються, і
отримати суфікс номер файлу, яке має бути числом.

o --одержувач=електронна пошта адреса (-r)
Адреса(и) одержувача повторно надісланого електронного листа (повторно зашифрованого чи простого). Перевизначення
одержувач(и), зазначений у файлі конфігурації. Як і з --члени варіант
можна вказати кількох одержувачів, надавши декілька --одержувач Варіанти.
Ці адреси можуть бути або не бути унікальними. Якщо є кілька однакових адрес
вказаний gpg-remailer надішле електронну пошту до кожного з цих множин
адреси

Кожен --одержувач Параметр зазвичай має визначати лише одну звичайну адресу електронної пошти (наприклад,
[захищено електронною поштою], але кілька --одержувач варіанти також приймаються. The
Формат адреси електронної пошти не перевіряється gpg-пересилувач, але надання будь-яких
інформація, що доповнює звичайну адресу електронної пошти або відрізняється від неї, може призвести до
gpg-пересилувач нездатність повторно зашифрувати або повторно надіслати повідомлення електронної пошти.

Окрім простих адрес електронної пошти, специфікація --одержувач членів може бути
використовується для вказівки, що повторно зашифрований лист має бути надісланий на всі адреси електронної пошти
вказано за допомогою член технічні умови.

o --крок=ім'я
Виконайте вказаний крок процесу повторного надсилання. Назви кроків:

hdrs (написати заголовки листа),
org (написати дані пошти),
грудня (тільки для електронної пошти, зашифрованої PGP: напишіть розшифровану інформацію),
doc (лише для електронної пошти, зашифрованої PGP: створіть інформацію для надсилання),
на (тільки для електронної пошти, зашифрованої PGP: зашифруйте інформацію для надсилання),
Clearmail (надсилати пошту відкритим текстом),
clearmail: адреса (надсилати листи лише на вказану адресу, ігнорувати одержувачів)
зазначено інше). pgpmail (надсилати пошту, зашифровану pgp),
pgpmail:адреса (надсилати зашифровану за допомогою pgp пошту лише на вказану адресу, ігнорувати
одержувач(и), зазначений інакше).

Крок hdrs є абсолютно необов'язковим. Подальші кроки залежать від попередніх кроків. наприклад, --крок
doc можна запросити лише після вказівки --крок грудня у попередньому запуску.

З кроками електронної пошти з чітким текстом грудень, доктор, на та pgpmail не слід надавати.

Із зашифрованим кроком пошти PGP Clearmail не слід надавати.

o --tmp=шлях (-t)
Шлях до каталогу, де записуються тимчасові файли (за замовчуванням:
$HOME/tmp). Це має бути абсолютний шлях.

o --маск=вісімкове значення
Типово gpg-remailer використовує umask 077 для всіх файлів, які він створює: лише
псевдокористувач має дозволи на читання та запис. У звичайних умовах має бути
немає причин для зміни цього значення umask, але якщо необхідно, --маск варіант може бути
використовується, надаючи вісімкове значення, щоб визначити альтернативне значення umask.

o -- версія (-v)
Номер версії gpg-remailer записується у стандартний вихідний потік після
який gpg-remailer завершує роботу. )

КОНФГУРАЦІЯ Фото

Конфігураційним файлом за замовчуванням є ~/etc/gpg-remailer.rc під псевдокористувачем
домашній каталог. Його шлях можна змінити за допомогою опції програми.

Порожні рядки ігноруються. Інформація на і не тільки #-символи інтерпретуються як
коментар і також ігнорується.

Усі директиви у файлі конфігурації підкоряються шаблону

директива: значення

Рядок може містити щонайбільше одну директиву, але пробіл (включаючи коментар у
кінець рядка) нормально. Кілька директив можна вказати кілька разів;
інакше використовується перше входження директиви. Всі директиви є
інтерпретується випадок нечутливо, але їх значення використовуються, як зазначено. наприклад,
Відлагоджувати: правда так само добре, як відлагоджувати: правда, Але відлагоджувати: ІСТИНА не визнається.
Непорожні рядки, які не починаються з розпізнаної директиви, мовчки ігноруються.

Підтримуються такі директиви (значення за замовчуванням відображаються між
круглі дужки; якщо нічого не вказано, за замовчуванням немає). При еквівалентній команді
використовуються параметри рядка, тоді вони переважають над специфікаціями файлу конфігурації.

o відлагоджувати: логіка (помилковий)
Коли логіка вказано як правда повідомлення про налагодження реєструватимуться у файлі журналу (див
нижче). Параметри командного рядка: --відлагоджувати, -d. При цьому параметрі вказано файли
написаний gpg-remailer не буде видалено після завершення роботи gpg-remailer.

o відкритий текст: специфікація (відхилено)
Типово gpg-remailer не приймає електронну пошту з відкритим текстом. Це може явно
вказувати у файлі конфігурації за допомогою

відкритий текст: відхилені

специфікація. Укажіть, чи має бути дозволена електронна пошта з відкритим текстом

відкритий текст: прийнятий

Також можна вказати адреси конвертів, які приймаються
отримав електронний лист у відкритому вигляді. Якщо це потрібно, вкажіть

відкритий текст: конверт

і визначте прийнятні адреси електронної пошти конвертів за допомогою конверт: конфігурація
варіант.

o конверт: електронна пошта адреса
Команда конверт специфікації інтерпретуються лише тоді, коли відкритий текст: конверт було
зазначено. Коли відкритий текст: конверт було вказано лише відкритий текст електронної пошти з використанням одного
налаштованого конверт адреси будуть повторно надіслані на налаштовані
одержувачі. Специфікація спеціального конверта

конверт: членів

може використовуватися для позначення адрес конверта, які дорівнюють адресам
вказано за допомогою член всі специфікації прийняті.

Усі адреси конвертів інтерпретуються без урахування регістру. За замовчуванням (якщо ні
конверт специфікацію надано) приймаються всі адреси конвертів, в
у якому випадку специфікація відкритий текст: конверт зводить до відкритий текст: прийнятий.

o keepFiles: nr
Якщо вказано число, усі файли, написані gpg-remailer, використовують вказане
номер і не видаляються, коли gpg-remailer завершує роботу. Коли цього варіанту немає
вказані файли отримують випадкове числове розширення, що призводить до створення
новий, ще не існуючий *. файли.

o файл журналу: ім'я файлу (etc/gpg-remailer.log)
Файл, у якому записуються повідомлення журналу gpg-remailer.

o рівень журналу: значення (2)
LogLevel 0 забезпечує розширений вихід налагодження, а також усі інші повідомлення журналу;
LogLevel 1 реєструє виконані команди та повідомлення за замовчуванням;
LogLevel 2 реєструє повідомлення за замовчуванням (характеристики вхідних і вихідних
електронна пошта);
На вищих рівнях журналювання пригнічується.

o учасник: адреса
Можна вказати кілька учасників. Кожен член Специфікація вказує PGP-ключ
адреса електронної пошти для повторного шифрування повідомлення. Адреси мають бути простою електронною поштою
адреси (наприклад, [захищено електронною поштою]) і не має містити інших елементів (наприклад
ім'я особи, яка використовує адресу). Цей формат не перевіряється
gpg-пересилувач, але недотримання може призвести до gpg-пересилувач бути нездатним
повторно шифрувати або надсилати повідомлення електронної пошти. The член також можна використовувати специфікації
вказати набір адрес конвертів електронної пошти, звідки надходить електронна пошта з відкритим текстом
прийнято, використовуючи в конверт: членів та відкритий текст: конверт технічні умови.

o noMail: логіка (помилковий)
Якщо вказано як правда пошта не надсилається.

o контейнер під тиском: електронна пошта адреса
Адреса(и) одержувача повторно надісланого електронного листа (повторно зашифрованого чи простого). множинний
можуть бути вказані одержувачі. Ці адреси можуть бути або не бути унікальними. Якщо кілька
вказано ідентичні адреси gpg-remailer надішле електронну пошту на кожну з них
множити вказані адреси. Одержувачів слід вказувати за допомогою звичайної електронної пошти
адреси (наприклад, [захищено електронною поштою]). Повторно зашифрований лист надсилається кожному
одержувач по черзі. Специфікація

контейнер під тиском: членів

може бути використаний для вказівки, що повторно зашифрований лист має бути надісланий на всю електронну пошту
адреси, указані за допомогою член технічні умови.

o відповідати на: Повний адреса
Адреса для відповіді може бути будь-якою електронною адресою для відповіді. Відповідь на стає
типова адреса відповіді для одержувача, який отримує повідомлення електронної пошти gpg-remailer.
З адреси для відповіді видаляються лапки та подвійні лапки. Відповідь на
специфікація може бути, наприклад,

SECMAIL підписаний І зашифрований[захищено електронною поштою]>

Ця специфікація має відповідати вимогам, визначеним у RFC 822:
стандарт та цінності Арфа інтернет текст повідомлення. Недотримання вимог RFC 822 може призвести до
у програмі надсилання електронної пошти відхилення електронного листа, надісланого користувачем
gpg-пересилувач.

o підпис: вимога (вимагається)
Цей параметр використовується для контролю перевірки підпису. Визнані цінності:
ніхто (або не вказано): перевірка підпису не проводиться;
вимагається: повинен бути наданий підпис PGP;
добре: підпис PGP має бути розпізнаний як «хороший підпис».

o tmp каталог (tmp/)
Каталог, до якого gpg-remailer записує свої тимчасові файли. )

ФОРМАТИ

Хоча використання PGP/GPG в електронній пошті є усталеною технологією, різні формати
електронною поштою можливі. Наразі gpg-remailer розпізнає такі формати:

o Прості зашифровані повідомлення, що складаються із зашифрованого тіла електронної пошти;

o Багатокомпонентні зашифровані повідомлення;

o Зашифровані повідомлення, що містять відокремлені підписи.

Нижче наведено опис фактичного вмісту PGP encrypted en decrypted
файли.

Усі електронні листи, зашифровані PGP, мають такі заголовки (граничні значення будуть
відрізняються для різних повідомлень електронної пошти):

Content-Type: multipart/encrypted; protocol="application/pgp-encrypted";
boundary="+QahgC5+KEYLbs62"
Зміст-розташування: вбудований

Усі електронні листи, зашифровані PGP, мають таку організацію (рядки використовуються для
відокремити організацію електронної пошти від тексту цієї довідкової сторінки та не є
фактично присутні в електронній пошті або в розшифрованій інформації; порожні рядки, де
показані, потрібні):

-------------------------------------------------- --------------------
заголовки пошти

--+QahgC5+KEYLbs62
Content-Type: application/pgp-encrypted
Зміст-диспозиція: вкладення

Версія: 1

--+QahgC5+KEYLbs62
Content-Type: додаток/октет-потік
Зміст-розташування: вбудований; filename="msg.asc"

-----ПОЧАТОК ПОВІДОМЛЕННЯ PGP-----
...

-----КІНЕЦЬ ПОВІДОМЛЕННЯ PGP-----
--+QahgC5+KEYLbs62--
-------------------------------------------------- --------------------

Зверніть увагу, що межі складаються з

o символ нового рядка

o два тире, за якими йде рамковий текст

o за останньою межею ставляться дві риски

o символ нового рядка

Різні формати електронної пошти, зашифровані PGP, відрізняються способом організації
розшифрована інформація.

простий Зашифровано Повідомлення.

Під час розшифровки перевіряється підпис, а також результат перевірки
записується в стандартний потік помилок. Саме розшифроване повідомлення містить лише одне
повідомлення, організоване таким чином:

-------------------------------------------------- --------------------
Тип вмісту: текст/звичайний; charset=us-ascii
Зміст-розташування: вбудований
Кодування передачі вмісту: quoted-printable

розшифрований текст повідомлення
-------------------------------------------------- --------------------

Багатокомпонентний Зашифровано Повідомлення.

Під час розшифровки перевіряється підпис, а також результат перевірки
записується в стандартний потік помилок. Саме розшифроване повідомлення містить
кілька повідомлень, організованих таким чином:

-------------------------------------------------- --------------------
Тип вмісту: багаточастинний/змішаний; boundary="f+W+jCU1fRNres8c"
Зміст-розташування: вбудований

--f+W+jCU1fRNres8c
Тип вмісту: текст/звичайний; charset=us-ascii
Зміст-розташування: вбудований
Кодування передачі вмісту: quoted-printable

Текст першого вкладення

--f+W+jCU1fRNres8c
Тип вмісту: додаток/pdf
Зміст-розпорядження: вкладення; filename="attachment.pdf"
Кодування передачі вмісту: base64

текст вкладення.pdf у кодуванні base64

--f+W+jCU1fRNres8c--
-------------------------------------------------- --------------------

Кілька вкладень можуть слідувати таким же чином.

Зашифровано повідомлення Містять Окремий Підписи.

Під час дешифрування підпис є НЕ перевірено (але одержувач(и) є(є)
показано), а розшифрований файл організовано таким чином:

-------------------------------------------------- --------------------
Content-Type: multipart/signed; micalg=pgp-sha1; protocol="додаток/pgp-підпис";
boundary="=-TNwuMvq+TfajHhvqBuO7"

--=-TNwuMvq+TfajHhvqBuO7
Content-Type: text / plain
Кодування передачі вмісту: quoted-printable

Текст повідомлення

--=-TNwuMvq+TfajHhvqBuO7
Content-Type: application/pgp-signature; ім'я=підпис.asc
Опис вмісту: це частина повідомлення з цифровим підписом

-----ПОЧАТОК ПІДПИСУ PGP-----
... текст підпису

-----КІНЕЦЬ ПІДПИСУ PGP-----
--=-TNwuMvq+TfajHhvqBuO7--
-------------------------------------------------- --------------------

Остання частина представляє відокремлений підпис, має бути розділ вмісту
відокремлений від розшифрованого файлу (названий, наприклад, розшифровується) (створення, наприклад,
файл зміст). Підпис останнього файлу можна перевірити за допомогою команди

gpg --перевірити розшифрований вміст

в результаті чого перевірка підпису записується зі стандартною помилкою (як зазвичай).
Вміст починається одразу після першої межі та продовжується до
але не включаючи новий рядок безпосередньо перед наступною межею.

Використовуйте gpg-remailer онлайн за допомогою сервісів onworks.net