Permettre aux usagers de répondre directement aux agents

[francois-ferrandis]

Closes #1649

Le fonctionnement en gros : lorsqu'un⋅e usagèr⋅e reçoit un mail de notif, iel peut y répondre par mail et sa réponse est transmise à / aux agent(s) liés au RDV.

Fonctionnalités

• Sécuriser l'adresse de callback appelée par Sendinblue (utiliser un password)
• Retrouver un RDV à partir du token présent dans l'adresse
• Envoyer un mail de notif aux agents du RDV avec
  • le contenu de la réponse
  • un lien vers le RDV
  • la liste des pièces jointes présentes
  • l'e-mail original en pièce jointe
• Faire en sorte que les e-mails de notification envoyés aux usagers aient bien un champ "reply to" qui contient le token*
• Envoyer le mail de façon asynchrone
• S'assurer que la citation du mail de notif original est ignorée lorsque l'on transmet le mail de réponse (utiliser le champ ExtractedMarkdownMessage de Sendinblue)
• Envoyer un seul mail de notif à tous les agents, plutôt que des mails séparés

Aperçu du mail transmis aux agents

Choix techniques

Où stocker le token ?

Afin de pouvoir retrouver un RDV à partir de l'e-mail de réponse, il fallait stocker un identifiant dans la base et faire en sorte de le joindre au mail de réponse, en utilisant une adresse du type rdv+UUID@reply.rdv-solidarites.fr.

Il était possible de stocker le token dans :

• un Rdv
• un RdvsUser
• un Receipt

J'ai fait le choix de stocker le token dans Rdv pour le moment, principalement car les mailers n'ont pas accès aux RdvsUsers et au Receipts, et qu'il était donc difficile de générer l'adresse de ReplyTo depuis les mailers.

Je me suis aussi dit que si une personne était ajoutée par erreur à un RDV puis supprimée juste ensuite, elle allait recevoir un mail de notification pour la création, et il était alors préférable qu'elle puisse répondre, ce qui aurait été impossible si le token était stocké dans un RdvsUser.

Je me dis aussi que si on change d'avis (par exemple stocker le token dans les Receipts), la migration sera simple.

Comment router les mails reçus à rdv+***@reply.rdv-solidarites.fr ?

Deux options s'offrent à nous :

1. créer une boite mail chez Gandi, et faire du polling dessus pour récupérer les nouveaux mails, puis les traiter.
2. utiliser un service externe qui permet que tous les e-mails envoyés à un sous-domaine soient détectés et transmis en HTTP à notre appli

La solution retenue pour le moment est la seconde, à travers le système proposé par Sendinblue (qui est le seul non américain à proposer ce service, et qui se trouve être déjà notre outil d'envoi de mails transactionnels). Ce choix nous a paru le plus simple, mais rien ne nous empêchera de changer à l'avenir.

J'ai testé l'envoi de mails depuis mes adresses perso vers le domaine @reply.rdv-solidarites.fr avec un webhook en place qui transmet à une URL de test proposée par webhook.site.

Note : les webhooks Sendinblue de type "inbound" n’apparaissent pas dans leur interface web, mais sont bien listés via leur API (il faut bien demander les webhooks de type inbound et non transactional).

Sous quel format transmettre le contenu de la réponse ?

Lorsque l'usagè⋅re répond au mail de notification, son client mail va faire en sorte de citer le mail original et de permettre de répondre au dessus de cette citation. Cette citation ne nous intéresse pas, ou du moins nous ne souhaitons pas la faire apparaître lorsque nous notifions l'agent de la réponse.

La bonne nouvelle, c'est que Sendinblue nous fournit dans son payload une version Markdown du mail, dans laquelle ils ont déjà exclu la citation. C'est donc ce champ (ExtractedMarkdownMessage) que nous allons utiliser pour transmettre la réponse.

Checklist

Avant la revue :

• Préparer des captures de l’interface avant et après
• Nettoyer les commits pour faciliter la relecture
• Supprimer les éventuels logs de test et le code mort

Revue :

• Relecture du code
• Test sur la review app / en local

[n-b]

(Je note ici pour en discuter plus tard)

Si je recolle les morceaux, c’est SendInBlue qui reçoit l’email et nous appelle sur /email_reply avec un le mail dans le body en json, c’est bien ça?

• comment on authentifie SIB ?
• qu’est-ce qu’on fait si on ne trouve pas l’identifiant dans un email ? On transfère à contact ?
• est-ce qu’on utilise rdv.id ou bien un identifiant plus spécifique au message ?
• est-ce qu’on peut utiliser le header MessageID? Est-ce que ça a du sens ?
• est-ce qu’on garde un receipt du message transféré?

[n-b]

Ahah, “raise” c’est pour debugguer sans faire de vue?

[francois-ferrandis]

Oui, je débug pas mal à base de raise dans les phases expérimentales, ça a pour avantage d'afficher la valeur que tu sois dans un test ou dans un navigateur. Ça a aussi pour avantage que tu risques moins de laisser traîner un raise qu'un puts. 😉

Je n'irais pas jusqu'à dire que je recommande cette méthode, mais c'est une habitude et jusqu'ici ça fait bien la job.

[francois-ferrandis]

(Je note ici pour en discuter plus tard)

Si je recolle les morceaux, c’est SendInBlue qui reçoit l’email et nous appelle sur /email_reply avec un le mail dans le body en json, c’est bien ça?

• comment on authentifie SIB ?

• qu’est-ce qu’on fait si on ne trouve pas l’identifiant dans un email ? On transfère à contact ?

• est-ce qu’on utilise rdv.id ou bien un identifiant plus spécifique au message ?

• est-ce qu’on peut utiliser le header MessageID? Est-ce que ça a du sens ?

• est-ce qu’on garde un receipt du message transféré?

Que de bonnes questions !

Je me demandais aussi, lorsqu'on envoie le mail, en fait on passe par Sendinblue, donc on se retrouve à avoir des mails persos non-transactionnels dans nos logs d'envoi d'e-mails transactionnels. Un bon gros sujet au final !

[gitguardian]

️✅ There are no secrets present in this pull request anymore.

If these secrets were true positive and are still valid, we highly recommend you to revoke them.
Once a secret has been leaked into a git repository, you should consider it compromised, even if it was deleted immediately.
Find here more information about risks.

---

<sup><sub>🦉 GitGuardian detects secrets in your source code to help developers and security teams secure the modern development process. You are seeing this because you or someone else with access to this repository has authorized GitGuardian to scan your pull request.

Our GitHub checks need improvements? Share your feedbacks!</sub></sup>

[francois-ferrandis]

J'ai trouvé plus simple de générer l'UUID en Ruby plutôt que de devoir recharger après création l'UUID généré par Postgres.

[victormours]

Trop bien ! Ça va faire gagner un temps ouf à l'équipe support.
Il y a peut-être des améliorations mineures qui sont possibles sur les clés de traduction, mais rien de bloquant.

[victormours]

😍 magnifique ce secure_compare

[victormours]

Suggested change

	attachments: Le mail de l'usager avait en pièce jointe "%{attachment_names}". Vous pouvez lui demander de les transmettre à nouveau.
	attachments: Le mail de l'usager avait en pièce jointe "%{attachment_names}". Les pièces jointes n'ont pas pu être ajoutées à ce mail automatique, mais vous pouvez lui demander de les transmettre à nouveau.

[yaf]

Je n'ai pas de proposition de formulation, mais un truc me semble très peu clair dans cette phrase :

Est-ce que la pièce jointe n'a pas pu être ajouté ici accidentellement ou bien c'est jamais possible ?

et aussi

Je demande à l'usager de tranferer « encore ? » la pièce jointe sur le même mail ?

Peut-être suggérer d'utiliser un outil de partage de fichier chiffré de bout en bout comme https://drop.chapril.org/

ou un de la liste des chatons https://www.chatons.org/search/by-service?service_type_target_id=148&field_alternatives_aux_services_target_id=All&field_software_target_id=All&field_is_shared_value=All&title=
(attention, tous ne propose pas un outil qui fait du chiffrement).

[victormours]

Suggested change

	attachments: Le mail de l'usager avait en pièce jointe "%{attachment_names}". Vous pouvez lui demander de les transmettre à nouveau.
	attachments: Le mail de l'usager avait en pièce jointe "%{attachment_names}". Les pièces jointes n'ont pas pu être ajoutées à ce mail automatique, mais vous pouvez lui demander de les transmettre à nouveau.

[victormours]

Plutôt que de dupliquer les clés de traductions, on pourrait les réutiliser ?

[victormours]

😄