Öffentliche API

Eine REST-API. JMAP. Signierte Webhooks. Das Audit-Log.

Verkio ist API-first gebaut — dieselben Endpunkte, die die Web-App nutzt, stehen euch offen. REST mit einer OpenAPI-3.1-Spezifikation für Codegen. Signierte Webhooks für die Events, die euch wichtig sind. JMAP für direkten Zugriff auf das Mail-Protokoll. Das Audit-Log streambar in euer SIEM.

REST

REST mit OpenAPI-3.1-Spezifikation.

Jeder Endpunkt in einer einzigen OpenAPI-3.1-Datei dokumentiert. Richtet euer Codegen-Tool (openapi-generator, oapi-codegen, OpenAPI TS) auf /api/v1/openapi.json und bekommt einen typisierten Client in eurer bevorzugten Sprache — oder stöbert in der interaktiven Referenz unter /developers.

  • OpenAPI-3.1-Spezifikation unter /api/v1/openapi.json — codegen-bereit.
  • Interaktive Referenz unter /developers (Swagger UI).
  • Bearer-Token-Auth (RFC 6750). Schlüssel mit Argon2id gehasht im Ruhezustand.
  • Rate-Limits pro Schlüssel mit X-RateLimit-*-Headern. 429er mit Retry-After.
  • Idempotency-Key-Support auf mutierenden Endpunkten — sicher bei wackeligen Netzwerken erneut zu senden.

Signierte Webhooks

HMAC-signierte Zustellung mit Dead-Letter-Queue.

Abonniert die Events, die euch wichtig sind — neue Mails, Audit-Log-Einträge, Konto-Änderungen. Jeder Payload ist HMAC-SHA256-signiert, sodass ihr verifizieren könnt, dass er von Verkio kommt. Fehlgeschlagene Zustellungen werden mit exponentiellem Backoff wiederholt; anhaltende Fehler landen in einer Dead-Letter-Queue, die ihr einsehen und erneut abspielen könnt.

  • HMAC-SHA256-Signatur pro Payload (X-Verkio-Signature-Header).
  • Exponentielle Backoff-Wiederholungen bei 5xx- und Verbindungsfehlern.
  • Dead-Letter-Queue im Dashboard — einsehen, erneut abspielen, verwerfen.
  • Jeder Zustellversuch im Audit-Log protokolliert.

JMAP-Passthrough

Sprecht direkt das moderne Mail-Protokoll.

Verkios zugrundeliegender Mail-Server spricht JMAP (RFC 8620 / 8621) — den modernen, JSON-basierten Nachfolger von IMAP. Die öffentliche API bietet einen JMAP-Passthrough, damit Client-Bibliotheken direkt mit euren Postfächern reden können, ohne jeden Endpunkt serverseitig nachzubauen.

  • JMAP Core (RFC 8620) und JMAP Mail (RFC 8621) über /api/v1/jmap.
  • Nutzt jede JMAP-kompatible Client-Bibliothek — jmap-client (JS), python-jmap, andere.
  • Push-Benachrichtigungen über JMAP EventSource — kein Polling.
  • IMAP und SMTP sind ebenfalls verfügbar für Clients, die sie brauchen.

Audit-Log-API

Jede Admin-Aktion, streambar.

Dasselbe Audit-Log, das ihr im Dashboard lest, ist als API verfügbar — paginiert, filterbar, mit Vorher-/Nachher-Werten bei jeder Änderung. Streamt Events nach Splunk, Datadog oder in jedes SIEM, das einen Webhook akzeptiert oder einen paginierten Endpunkt pollt. Exportiert nach CSV oder JSONL für Forensik.

  • Paginiert und filterbar: nach Nutzer, Event-Typ, Zeitraum.
  • Vorher-/Nachher-Werte bei jeder Mutation — vollständige forensische Spur.
  • Streamt in euer SIEM per Webhook oder Pull-Endpunkt.
  • Export nach CSV oder JSONL für Offline-Analyse. Sieben Jahre Aufbewahrung standardmäßig.

Produktionsreif

Gebaut für die langlebigen Integrationen, die ihr wirklich schreiben wollt.

Gescopte API-Schlüssel mit Rotation. Rate-Limits pro Schlüssel. Idempotenz bei Schreibvorgängen. Versionierte URLs, sodass euch eine Abkündigung nicht an einem ruhigen Sonntag aus dem Nichts trifft. Die langweiligen Garantien, die eine Integration erst lohnenswert machen.

  • Gescopte API-Schlüssel — read-only, auf ein Postfach beschränkt, auf eine Organisation beschränkt.
  • Schlüsselrotation im Dashboard — widerrufen und neu ausstellen ohne Ausfall.
  • URL-versioniert (/api/v1/…) mit Deprecation-Headern Monate im Voraus.
  • OpenAPI-Changelog veröffentlicht; Breaking Changes nur bei Major-Versionssprüngen.

Offene Standards

RFCs und OpenAPI. Nichts Proprietäres.

Jedes Protokoll, das die öffentliche API spricht, ist öffentlich dokumentiert. Bringt euer Codegen-Tool mit. Bringt eure bestehende Client-Bibliothek mit. Nichts hier ist für einen Vendor-Pitch erfunden.

  • OpenAPI 3.1
  • REST
  • JMAP Core (RFC 8620)
  • JMAP Mail (RFC 8621)
  • Bearer auth (RFC 6750)
  • HMAC-SHA256 (RFC 6234)
  • Argon2id key hashing
  • TLS 1.3

Start im Juli 2026

Auf die Warteliste setzen

Wir melden uns, sobald Verkio öffnet.