Як перевірити певний домен належить користувачеві?

Я пишу програмне забезпечення, яке буде використовуватися здебільшого компаніями.

Тоді у мене виникла ідея дати компаніям можливість зареєструвати свій домен електронної пошти, щоб кожен користувач, який зареєструвався електронною поштою для вказаного домену, автоматично був включений до групи компаній.

Я знаю, що Slack робить щось подібне, і це працює, але є деякі проблеми ... наприклад, я щойно зареєстрував "live.it" (італійська версія Microsoft.com від Microsoft).

Я не можу просто припустити, що якщо користувач підтвердив електронну пошту з певним доменом, то безпечно розміщувати кожного користувача з однаковою доменною поштою в одній групі.

Наприклад, якщо я зареєструвався на me@gmail.com, я не хочу дозволяти користувачу реєструватися, щоб "gmail.com" мав власний домен.

Я хотів би уникати використання таких методів, як "поставити файл HTML у корінь домену" або "встановити запис TXT", тому мені було цікаво, як мені це зробити.

Файл у кореневому каталозі

Не відкидайте можливість розміщення файлу у кореневому каталозі корпоративного веб-сайту. Це добре працює і широко використовується: Google Webmaster Tools - один із прикладів такої техніки. Це робить цей підхід привабливим: оскільки більшість користувачів це вже знають, вони не втратяться. Крім того, воно не вимагає ніяких технічних знань, на відміну від зміни записів MX (більшість малих компаній навіть не знають, що таке запис MX).

Щоб уникнути забруднення кореневого каталогу, вам слід попросити помістити файл лише під час перевірки. Після того як ви знайдете файл, користувач, можливо, зможе його видалити.

Зауважте, що користувачі, які не мають корпоративного веб-сайту, не зможуть отримати доступ до вашої послуги, але я не думаю, що в цьому випадку є багато клієнтів.

Зауважте, що:

• Вам слід перевірити http://example.com/file та http://www.example.com/file , оскільки деякі веб-сайти налаштовані таким чином, що вони не підтримують http://example.com/ форму.

• Ви можете також підтримувати HTTPS, враховуючи, що я не думаю, що існує багато компаній, які не перенаправляють з HTTP на HTTPS.

• Ви не повинні приймати будь-які інші домени третього рівня, такі як http://mysite.example.com/ , оскільки це дасть можливість тому, хто придбав домени третього рівня, стверджувати, що він є власником домену другого рівня example.com .

Надсилання електронного листа

Надсилання електронного листа з таємним посиланням є досить проблематичним. Ви не можете зробити це на firstname.lastname@example.com, оскільки у даної людини може бути не вказана корпоративна електронна адреса (це часто трапляються стартапи, коли люди вважають за краще використовувати свою особисту адресу).

Використання електронних листів, таких як admin@example.com, у деяких випадках не працюватиме.

• По-перше, завжди існують компанії, які не мають postmaster@example.com, admin@example.com тощо, але мають свої спеціальні "системні" адреси електронної пошти, яких ви не мали в списку. Розгляньте конкретно іноземні компанії; наприклад, у Франції незвично використовувати "Administrat eu r" замість "Administrator", у тому числі для адрес електронної пошти та імен облікових записів.

• По-друге, багато малих компаній не мають доступу та не знають, як отримати доступ до своїх електронних листів. Вони навіть не знають, що у них є abuse@example.com, коли сотні термінових електронних листів чекають на їх відповідь.

  З цієї ж причини ви не можете базуватися на записах WHOIS для електронної адреси.

Постає питання: "Що означає володіти доменом електронної пошти?".

Володіння веб-сайтом визначається можливістю помістити файл у корінь . Звичайні користувачі можуть укласти файл, http://example.com/~user42/validation.txtале не ввімкнути його http://example.com/validation.txt.

Для електронної пошти такої ієрархії немає. Однак postmasterадреса особлива. (Зарезервовано за RFC2142 ) Ви не зможете створити postmaster@gmail.com. Таким чином, здатність створювати та / або отримувати доступ postmaster@є доказом необхідності володіння доменом електронної пошти.

Бачачи у своїх коментарях, що ви, можливо, не віддаєте перевагу використовувати метод «файл-в-корінь» веб-сайту, альтернативою, яка може працювати - це

Підтвердьте право власності за допомогою WHOIS

Вам потрібно отримати запитуваний домен (наприклад stackexchange.com) та одну з електронних листів, перелічених у висновку WHOIS для цього домену . (Зверніть увагу, що це не працює для секретних / приватних реєстрацій, але якщо ваша аудиторія є корпораціями, це зазвичай не є проблемою)

Наприклад:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Ви можете навіть зробити whoisпошук інтерактивно та надати випадаючий список дійсних електронних листів (у цьому випадку просто sysadmin-team@stackoverflow.com). Потім ви надішлете код підтвердження / посилання на вибраний електронний лист.

Попросіть своїх користувачів додати запис TXT до свого домену із посиланням на їх обліковий запис користувача на вашому веб-сайті (їх ім’я користувача, ідентифікатор або довільний маркер, сформований під час прохання користувача підтвердити свій домен).

Я пам’ятаю, що додав запис adn_verification=<my user name>у соціальній мережі, щоб відобразити мій домен як перевірений, і я подумав, що це досить акуратно і не вимагає, щоб ти домен вказував на веб-сервер.

Щоб додати пропозиції, які вже є на сторінці: я рекомендую надати користувачеві параметри, як він перевіряє свій домен. Інші пропозиції на сторінці цілком корисні, але іноді ви потрапляєте в ситуацію, коли хтось, хто хоче перевірити свій домен, має обмежений доступ до свого сервера або навіть до свого веб-сайту. Наприклад, ваш користувач може не в змозі додати записи домену або файли в корінь домену.

Наприклад, Troy Hunt дозволяє користувачам шукати весь домен у його базі даних про компрометовані облікові записи, але вам потрібно спочатку перевірити. Він дає користувачеві можливість вибору 4-х методів:

1. Електронною поштою;
2. через метатег;
3. Завантаження файлу;
4. запис TXT.

У всіх 4 цих випадках він вимагає від користувача ввести певне значення десь, проти чого він підтверджує.

Пояснення розміщено на веб- сайті http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .

Чи можете ви дозволити собі уникати використання безкоштовних веб-листів для реєстрації?

Ось що зації робить: ви не можете зареєструватися в с @gmail.com, @live.comі т.д. по електронній пошті - ви повинні використовувати свої власні.

І це кластеризує вас цим.

Якщо ви орієнтовані на бізнес, це має бути хорошим шляхом.

Ви все ще можете мати проблему дізнатися, хто такий начальник (скажімо, адміністратор цієї групи), але це може бути не так важливо - у начальника, мабуть, є інструменти, щоб повідомити будь-якого працівника про передачу йому права власності за умови, що хтось зареєстрований перед начальником.