authmail-relay 사용 가이드

authmail-relay가 하는 일

authmail-relay는 사용자 본인의 SMTP 계정을 통해 트랜잭셔널 인증 메일을 발송하는 작은 self-hosted 서비스다. 인증 메일을 보내야 하는 모든 앱에서 SMTP 자격증명과 메일 템플릿 로직을 분리한다. 다른 앱들은 Bearer API key로 내부 HTTP 엔드포인트 하나만 호출하거나 Python 라이브러리로 import해서 사용한다.

magic link, OTP 코드, password reset에 대한 기본 플로우와, 임의의 HTML/텍스트를 보낼 수 있는 /send 엔드포인트를 함께 제공한다.

언제 쓰는가

• 이미 SMTP 계정(Gmail SMTP, Amazon SES SMTP, 내부 relay 등)을 보유하고 있고 그것을 계속 쓰고 싶을 때.
• 인증 메일을 보내야 하는 내부 앱이 여러 개 있고, 그 앱마다 SMTP 자격증명과 HTML 템플릿을 복사하고 싶지 않을 때.
• 한 가지 일(인증 메일 발송)만 하는 작은 서비스를 원하고, 인증/세션/토큰 로직과는 분리하고 싶을 때.

모드 선택

설치

# Library mode (추가 의존성 없음)
pip install authmail-relay

# HTTP service mode (FastAPI + uvicorn)
pip install "authmail-relay[http]"

요구 사항: Python 3.10+.

아직 릴리즈되지 않은 최신 commit을 git에서 바로 설치:

pip install "authmail-relay[http] @ git+https://github.com/hwan96-ai/authmail-relay.git"

패키지 이름 규칙

저장소 이름, PyPI 배포 이름, Python import 이름이 서로 다르다. 각각 올바른 위치에 사용해야 한다.

HTTP 서비스 실행

pip install "authmail-relay[http]"

export SMTP_HOST=smtp.gmail.com
export SMTP_USER=sender@gmail.com
export SMTP_PASSWORD=app-password
export API_KEY=$(openssl rand -hex 32)

python -m authmail_relay
# → Uvicorn running on http://127.0.0.1:8000

OpenAPI 문서는 http://127.0.0.1:8000/docs에서 제공된다. 필수 환경변수는 SMTP_HOST와 API_KEY이며, 빠지면 서비스는 시작 시점에 즉시 실패한다.

30초 SMTP smoke test

export SMTP_HOST=smtp.gmail.com
export SMTP_USER=sender@gmail.com
export SMTP_PASSWORD=app-password

python -m authmail_relay test --to me@example.com

성공 시 0, 실패 시 error_code와 함께 1로 종료한다.

curl로 엔드포인트 호출

일반 트랜잭셔널 메일 — /send

curl -X POST http://127.0.0.1:8000/send \
  -H "Authorization: Bearer $API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "to": "user@example.com",
    "subject": "Hi",
    "html_body": "<p>Hello</p>"
  }'

OTP — /send/otp

curl -X POST http://127.0.0.1:8000/send/otp \
  -H "Authorization: Bearer $API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "to": "user@example.com",
    "user_name": "User Name",
    "code": "482901"
  }'

Magic link — /send/magic-link

curl -X POST http://127.0.0.1:8000/send/magic-link \
  -H "Authorization: Bearer $API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
    "to": "user@example.com",
    "user_name": "User Name",
    "token": "$TOKEN",
    "base_url": "https://myapp.com"
  }'

토큰의 생성, 저장, 만료, 일회성 보장은 호출자의 책임이다. authmail-relay는 메일을 보낼 뿐이다. $TOKEN은 호출자 앱에서 생성한다 — 예: python -c "import secrets; print(secrets.token_urlsafe(32))" — 또는 인증 제공자가 발급한 토큰을 그대로 전달한다.

라이브러리 사용 예시

from authmail_relay import SmtpSender, MagicLinkNotifier, OTPNotifier
from authmail_relay.sender import SmtpConfig

sender = SmtpSender(SmtpConfig(
    host="smtp.gmail.com",
    user="sender@gmail.com",
    password="app-password",
))

# 일회성 HTML 메일
sender.send("user@example.com", "Hi", "<p>Hello</p>")

# Magic link
# 토큰은 호출자 책임이다. 자체 인증이면 아래처럼 고엔트로피 토큰을 발급하고,
# Supabase 같은 외부 인증을 쓴다면 그 제공자가 만든 토큰을 전달한다.
import secrets
token = secrets.token_urlsafe(32)
MagicLinkNotifier(sender, base_url="https://myapp.com").send(
    "user@example.com", "User Name", token,
)

# OTP
OTPNotifier(sender).send("user@example.com", "User Name", "482901")

Docker와 Mailpit으로 로컬 개발

cp .env.example .env
# .env 편집: SMTP_HOST / SMTP_USER / SMTP_PASSWORD / API_KEY

docker compose up -d --build
curl http://127.0.0.1:8000/health

docker-compose.yml은 편의를 위해 호스트의 8000:8000을 노출한다. 이 포트를 공용 인터넷에 노출하지 말 것.

실제 SMTP provider 없이 로컬에서 개발하려면 Mailpit을 사용한다:

docker compose -f docker-compose.dev.yml up -d --build
# Mailpit UI: http://127.0.0.1:8025

프로덕션 보안 체크리스트

• 공용 인터넷에 서비스를 직접 노출하지 말 것. 사설망 또는 VPC 내부 reverse proxy/API gateway 뒤에 둔다.
• TLS는 엣지에서 종료(nginx, Traefik, gateway).
• 인증 실패 요청에 대한 rate limit을 엣지에서 적용한다. 내장 per-bearer rate limit은 인증된 요청에만 적용된다.
• /docs와 /metrics를 보호 — 엣지에서 비활성화하거나 인증을 요구한다. METRICS_REQUIRE_AUTH=true를 설정한다.
• 시크릿을 소스 밖에 보관. API_KEY, WEBHOOK_SECRET, SMTP 자격증명은 환경변수 또는 시크릿 매니저에 둔다. API_KEY는 openssl rand -hex 32로 생성한다.
• Trust boundary. authmail-relay는 인증 메일을 발송할 뿐, 로그인 토큰을 생성·저장·검증·만료시키지 않는다. 토큰 엔트로피(secrets.token_urlsafe(32) 이상), 만료, 일회성 보장, replay 방지, 계정 상태 검사는 호출자의 책임이다.
• 프로덕션에서 raw token, OTP 코드, token_hash 값, 전체 confirmation_url 값, action_link 값을 로그에 남기지 말 것. 이들은 bearer secret이다. 비프로덕션 디버깅에는 dry-run 또는 .eml capture 모드를 사용한다.

Webhook과 관측성

/send* 요청 본문에 webhook_url을 전달하면 발송 결과를 비동기로 받는다. 서비스는 legacy V1 헤더와 timestamp-bound V2 헤더 양쪽으로 payload에 서명한다. 새 수신자는 V2를 검증해야 한다. webhooks.md 참고.

관측성 기능은 모두 기본 off, opt-in:

• Prometheus metrics /metrics (METRICS_ENABLED=true, METRICS_REQUIRE_AUTH=true 권장).
• 구조화된 JSON 로그 (EMAIL_SERVICE_LOG_FORMAT=json). 수신자 주소는 해시 처리(SHA-256 앞 8자) — 평문으로 기록하지 않는다.
• X-Request-ID 전파 — 엔드-투-엔드.
• 라이브러리 모드에서 bounded exponential backoff로 SMTP 재시도(max_retries=N).

이 서비스가 아닌 것

• 메일 서버가 아니다. 기존 SMTP provider와 통신할 뿐, 인바운드 메일을 받거나 MX를 처리하지 않는다.
• 풀-스택 인증 플랫폼이 아니다. 로그인 토큰의 생성, 저장, 검증, 만료, 세션 관리, 사용자 저장을 하지 않음.
• Supabase Auth, Auth0, Clerk, Keycloak 등 어떤 인증 플랫폼도 아니다. 다른 시스템이 보내기로 결정한 이메일을 전달할 뿐이다.
• 마케팅/대량 메일 플랫폼이 아니다. 반송 처리, suppression list, 도달률 도구가 없다.
• Resend, Postmark, SendGrid, Mailgun, SES 같은 관리형 메일 서비스의 대체품이 아니다. 그들이 제공하는 도달률·평판·SLA를 작은 self-hosted 게이트웨이가 맞출 수 없다.

관련 링크

• README
• 한국어 README
• API reference (docs/api.md)
• Configuration (docs/configuration.md)
• Deployment hardening (docs/deployment.md)
• Webhooks (docs/webhooks.md)
• Operations (docs/operations.md)
• Alternatives (docs/alternatives.md)
• PyPI: authmail-relay
• GitHub: hwan96-ai/authmail-relay