Öffentliche API
Eine REST-API. JMAP. Signierte Webhooks. Das Audit-Log.
Verkio ist API-first gebaut — dieselben Endpunkte, die die Web-App nutzt, stehen euch offen. REST mit einer OpenAPI-3.1-Spezifikation für Codegen. Signierte Webhooks für die Events, die euch wichtig sind. JMAP für direkten Zugriff auf das Mail-Protokoll. Das Audit-Log streambar in euer SIEM.
REST
REST mit OpenAPI-3.1-Spezifikation.
Jeder Endpunkt in einer einzigen OpenAPI-3.1-Datei dokumentiert. Richtet euer Codegen-Tool (openapi-generator, oapi-codegen, OpenAPI TS) auf /api/v1/openapi.json und bekommt einen typisierten Client in eurer bevorzugten Sprache — oder stöbert in der interaktiven Referenz unter /developers.
- OpenAPI-3.1-Spezifikation unter /api/v1/openapi.json — codegen-bereit.
- Interaktive Referenz unter /developers (Swagger UI).
- Bearer-Token-Auth (RFC 6750). Schlüssel mit Argon2id gehasht im Ruhezustand.
- Rate-Limits pro Schlüssel mit X-RateLimit-*-Headern. 429er mit Retry-After.
- Idempotency-Key-Support auf mutierenden Endpunkten — sicher bei wackeligen Netzwerken erneut zu senden.
Signierte Webhooks
HMAC-signierte Zustellung mit Dead-Letter-Queue.
Abonniert die Events, die euch wichtig sind — neue Mails, Audit-Log-Einträge, Konto-Änderungen. Jeder Payload ist HMAC-SHA256-signiert, sodass ihr verifizieren könnt, dass er von Verkio kommt. Fehlgeschlagene Zustellungen werden mit exponentiellem Backoff wiederholt; anhaltende Fehler landen in einer Dead-Letter-Queue, die ihr einsehen und erneut abspielen könnt.
- HMAC-SHA256-Signatur pro Payload (X-Verkio-Signature-Header).
- Exponentielle Backoff-Wiederholungen bei 5xx- und Verbindungsfehlern.
- Dead-Letter-Queue im Dashboard — einsehen, erneut abspielen, verwerfen.
- Jeder Zustellversuch im Audit-Log protokolliert.
JMAP-Passthrough
Sprecht direkt das moderne Mail-Protokoll.
Verkios zugrundeliegender Mail-Server spricht JMAP (RFC 8620 / 8621) — den modernen, JSON-basierten Nachfolger von IMAP. Die öffentliche API bietet einen JMAP-Passthrough, damit Client-Bibliotheken direkt mit euren Postfächern reden können, ohne jeden Endpunkt serverseitig nachzubauen.
- JMAP Core (RFC 8620) und JMAP Mail (RFC 8621) über /api/v1/jmap.
- Nutzt jede JMAP-kompatible Client-Bibliothek — jmap-client (JS), python-jmap, andere.
- Push-Benachrichtigungen über JMAP EventSource — kein Polling.
- IMAP und SMTP sind ebenfalls verfügbar für Clients, die sie brauchen.
Audit-Log-API
Jede Admin-Aktion, streambar.
Dasselbe Audit-Log, das ihr im Dashboard lest, ist als API verfügbar — paginiert, filterbar, mit Vorher-/Nachher-Werten bei jeder Änderung. Streamt Events nach Splunk, Datadog oder in jedes SIEM, das einen Webhook akzeptiert oder einen paginierten Endpunkt pollt. Exportiert nach CSV oder JSONL für Forensik.
- Paginiert und filterbar: nach Nutzer, Event-Typ, Zeitraum.
- Vorher-/Nachher-Werte bei jeder Mutation — vollständige forensische Spur.
- Streamt in euer SIEM per Webhook oder Pull-Endpunkt.
- Export nach CSV oder JSONL für Offline-Analyse. Sieben Jahre Aufbewahrung standardmäßig.
Produktionsreif
Gebaut für die langlebigen Integrationen, die ihr wirklich schreiben wollt.
Gescopte API-Schlüssel mit Rotation. Rate-Limits pro Schlüssel. Idempotenz bei Schreibvorgängen. Versionierte URLs, sodass euch eine Abkündigung nicht an einem ruhigen Sonntag aus dem Nichts trifft. Die langweiligen Garantien, die eine Integration erst lohnenswert machen.
- Gescopte API-Schlüssel — read-only, auf ein Postfach beschränkt, auf eine Organisation beschränkt.
- Schlüsselrotation im Dashboard — widerrufen und neu ausstellen ohne Ausfall.
- URL-versioniert (/api/v1/…) mit Deprecation-Headern Monate im Voraus.
- OpenAPI-Changelog veröffentlicht; Breaking Changes nur bei Major-Versionssprüngen.
Offene Standards
RFCs und OpenAPI. Nichts Proprietäres.
Jedes Protokoll, das die öffentliche API spricht, ist öffentlich dokumentiert. Bringt euer Codegen-Tool mit. Bringt eure bestehende Client-Bibliothek mit. Nichts hier ist für einen Vendor-Pitch erfunden.
- OpenAPI 3.1
- REST
- JMAP Core (RFC 8620)
- JMAP Mail (RFC 8621)
- Bearer auth (RFC 6750)
- HMAC-SHA256 (RFC 6234)
- Argon2id key hashing
- TLS 1.3
Start im Juli 2026
Auf die Warteliste setzen
Wir melden uns, sobald Verkio öffnet.