Jak sprawdzić, czy dana domena jest własnością użytkownika?

Piszę oprogramowanie, z którego będą korzystać głównie firmy.

Potem wpadłem na pomysł, aby dać firmom sposób na zarejestrowanie swojej domeny e-mail, aby każdy użytkownik, który zarejestruje się przy użyciu adresu e-mail danej domeny, był automatycznie umieszczany w grupie firm.

Wiem, że Slack robi coś takiego i działa, ale są pewne problemy ... na przykład właśnie zarejestrowałem „live.it” (włoska wersja live.com firmy Microsoft).

Nie mogę po prostu założyć, że jeśli użytkownik zweryfikował wiadomość e-mail w określonej domenie, można bezpiecznie umieścić każdego użytkownika z tą samą domeną domena w tej samej grupie.

Na przykład, jeśli zarejestruję się pod adresem me@gmail.com, nie chcę, aby użytkownik rejestrował „gmail.com” ma własną domenę.

Chciałbym unikać stosowania metod takich jak „włóż plik HTML do katalogu głównego domeny” lub „ustaw rekord TXT”, więc zastanawiałem się, jak to zrobić.

Plik w katalogu głównym

Nie odrzucaj możliwości umieszczenia pliku w katalogu głównym witryny korporacyjnej. Działa dobrze i jest szeroko stosowany: Narzędzia Google dla webmasterów są przykładem takiej techniki. To sprawia, że ​​takie podejście jest atrakcyjne: skoro większość użytkowników już o tym wie, nie zostaną utracone. Ponadto nie wymaga żadnej wiedzy technicznej, w przeciwieństwie do modyfikowania rekordów MX (większość małych firm nawet nie wie, co to jest rekord MX).

Aby uniknąć zanieczyszczenia katalogu głównego, należy poprosić o umieszczenie pliku tylko podczas sprawdzania. Po znalezieniu pliku użytkownik może go usunąć.

Pamiętaj, że użytkownicy, którzy nie mają firmowej witryny, nie będą mogli uzyskać dostępu do Twojej usługi, ale nie sądzę, aby w tym przypadku było wielu klientów.

Uwaga:

• Należy sprawdzić zarówno http://example.com/file, jak i http://www.example.com/file , ponieważ niektóre witryny są skonfigurowane w sposób, który nie obsługuje formularza http://example.com/ .

• Możesz również wspierać HTTPS, biorąc pod uwagę, że nie sądzę, że istnieje wiele firm bez przekierowania z HTTP na HTTPS.

• Nie należy akceptować żadnych innych domen trzeciego poziomu, takich jak http://mojawitryna.przyklad.com/ , ponieważ umożliwi to osobie, która kupiła domeny trzeciego poziomu, twierdzenie, że jest właścicielem domeny drugiego poziomu przyklad.com .

Wysyłanie wiadomości e-mail

Wysłanie wiadomości e-mail z tajnym linkiem jest dość problematyczne. Nie możesz tego zrobić na imię.nazwa@example.com, ponieważ dana osoba może nie mieć firmowego adresu e-mail (często tak jest w przypadku startupów, w których ludzie wolą używać swojego adresu osobistego).

Korzystanie z wiadomości e-mail, takich jak admin@example.com, nie działa w niektórych przypadkach.

• Po pierwsze, zawsze są firmy, które nie mają postmaster@example.com, admin@example.com itd., Ale mają swoje konkretne „systemowe” adresy e-mail, które nie zostały umieszczone na białej liście. Rozważ szczególnie firmy zagraniczne; na przykład we Francji nie jest niczym niezwykłym używanie „Administrat eu r” zamiast „Administrator”, w tym adresów e-mail i nazw kont.

• Po drugie, wiele małych firm nie ma dostępu i nie wie, jak uzyskać dostęp do systemowych wiadomości e-mail. Płacą nawet nie wiedząc, że mają nadużycie@example.com z setkami pilnych wiadomości e-mail czekających na odpowiedź.

  Z tego samego powodu nie możesz opierać się na rekordach WHOIS dotyczących adresu e-mail.

Powstaje pytanie: „Co to znaczy posiadać domenę e-mail?”.

Posiadanie strony internetowej jest definiowane przez możliwość umieszczenia pliku w katalogu głównym . Zwykli użytkownicy mogą być w stanie umieścić plik, http://example.com/~user42/validation.txtale go nie włączyć http://example.com/validation.txt.

W przypadku poczty e-mail nie ma takiej hierarchii. Jednak postmasteradres jest wyjątkowy. (Zarezerwowane zgodnie z RFC2142 ) Nie będzie można utworzyć postmaster@gmail.com. Zatem możliwość tworzenia i / lub uzyskiwania dostępu postmaster@jest dowodem na posiadanie domeny e-mail.

Widząc w swoich komentarzach, że nie wolisz używać metody file-in-root-of-website, alternatywą, która może działać, jest

Zweryfikuj własność za pomocą WHOIS

Potrzebne będzie żądanie domeny (na przykład stackexchange.com) i jeden z e-maili wymienionych w danych wyjściowych WHOIS dla tej domeny . (Pamiętaj, że to nie zadziała w przypadku tajnych / prywatnych rejestracji, ale jeśli twoją publicznością są korporacje, zwykle nie stanowi to problemu)

Na przykład:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Możesz nawet przeprowadzić whoiswyszukiwanie interaktywnie i podać listę rozwijaną prawidłowych wiadomości e-mail (w tym przypadku tylko sysadmin-team@stackoverflow.com). Następnie wyślesz kod weryfikacyjny / link do wybranego adresu e-mail.

Poproś użytkowników o dodanie rekordu TXT do swojej domeny wraz z odniesieniem do ich konta użytkownika w Twojej witrynie (nazwa użytkownika, identyfikator lub dowolny token wygenerowany, gdy użytkownik prosi użytkownika o zweryfikowanie swojej domeny).

Pamiętam, że dodałem rekord wywołany adn_verification=<my user name>w sieci społecznościowej, aby wyświetlić moją domenę jako zweryfikowaną, i pomyślałem, że to całkiem fajne i nie wymaga, aby domena wskazywała na serwer sieciowy.

Aby dodać do sugestii już na stronie: Polecam dać użytkownikom opcje, w jaki sposób sprawdza swoją domenę. Wszystkie pozostałe sugestie na stronie są doskonale użyteczne, ale czasami jesteś w sytuacji, gdy ktoś, kto chce zweryfikować swoją domenę, ma ograniczony dostęp do swojego serwera, a nawet strony internetowej. Na przykład użytkownik może nie być w stanie dodać rekordów domeny lub plików do katalogu głównego domeny.

Na przykład Troy Hunt pozwala użytkownikom wyszukiwać całą domenę w swojej bazie danych zainfekowanych kont, ale najpierw musisz to zweryfikować. Daje użytkownikowi wybór 4 metod:

1. Poprzez e-mail;
2. przez metatag;
3. Przesyłanie pliku;
4. rekord TXT.

We wszystkich 4 przypadkach wymaga od użytkownika wprowadzenia określonej wartości w miejscu, w którym weryfikuje.

Wyjaśnienie znajduje się na stronie http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .

Czy możesz pozwolić sobie na uniknięcie korzystania z bezpłatnych wiadomości e-mail do rejestracji?

To co Brium nie: nie można rejestrować-wz @gmail.com, @live.comitp e-mail - trzeba użyć własnego.

I to cię skupia.

Jeśli kierujesz reklamy do firm, powinna to być dobra droga.

Nadal możesz mieć problem ze stwierdzeniem, kto jest szefem (powiedzmy, adminem tej grupy), ale może to nie być tak ważne - szef powinien prawdopodobnie mieć narzędzia do nakazania każdemu pracownikowi przeniesienia własności na niego, pod warunkiem, że ktoś zarejestrowany przed szefem.