邮箱即时解密（dovecot）

默认情况下 %w 变量不可用，但您可以添加它。

我稍微扩展了 Dovecot wiki 中给出的示例，以展示一种处理密钥管理的方法。这通过了一些低强度的测试（我可以传递、阅读、移动邮件）。

#!/bin/bash

# Keys generated using:
#
# fingerprint=$(echo -n "${imap_password}" | gpg2 --batch --passphrase-fd 0 --quick-gen-key "Mail encryption key <${imap_user}>" ed25519 2>&1 | fgrep 'revocation certificate stored as' | sed -e 's/.*\///' -e 's/\..*//')
# echo -n "${imap_password}" | gpg2 --batch --passphrase-fd 0 --quick-add-key "${fingerprint}" cv25519
# 
# Call this from dovecot with:
#
# plugin {
#   mail_filter = mail-filter read %u %{userdb:pass}
#   mail_filter_out = mail-filter-out write %u
# }
#
# And configure dovecot to pass the un-encrypted mail password through:
#  
# passdb { 
#   driver = passwd-file 
#   args = scheme=CRYPT username_format=%u /etc/dovecot/users 
#   override_fields = userdb_pass=%w 
# }

export GNUPGHOME="/srv/mail/.gnupg"
imap_user="$2"

tempfile=$(mktemp)
cat > "${tempfile}"

if [ "$1" == "write" ]; then
    gpg2 --armor --batch --encrypt -r "${imap_user}" < "${tempfile}"
elif [ "$1" == "read" ]; then
    imap_password="$3"
    echo -n "${imap_password}" | gpg2 --quiet --batch --passphrase-fd 0 --decrypt "${tempfile}"
fi

rm -f "${tempfile}"

显然还有很大的改进空间——添加错误检查、不在磁盘上以明文形式缓冲消息、使用冒号分隔的输出正确调用 GPG、检测磁盘上的未加密邮件等等。

所以看起来这个 dovecot 插件符合要求：

https://wiki.dovecot.org/Plugins/MailFilter

除了不清楚它是否可以访问 %W 宏（纯文本密码 - 可能没有，因为它保留给 auth 阶段）。