Làm thế nào để xác nhận một tên miền nhất định thuộc sở hữu của người dùng?

Tôi đang viết một phần mềm sẽ được sử dụng chủ yếu bởi các công ty.

Sau đó, tôi đã có ý tưởng cung cấp cho các công ty một cách để đăng ký tên miền email của họ để mọi người dùng đăng ký với một email của tên miền nhất định sẽ tự động được đưa vào nhóm công ty.

Tôi biết Slack làm một cái gì đó như thế này và nó hoạt động, nhưng có một số vấn đề ... ví dụ tôi vừa đăng ký "live.it" (phiên bản tiếng Ý live.com của Microsoft).

Tôi không thể giả sử rằng nếu người dùng đã xác thực email với một tên miền cụ thể thì việc đặt mọi người dùng có cùng domain_mail vào cùng một nhóm là an toàn.

Ví dụ: nếu tôi đăng ký với me @ gmail, tôi không muốn cho phép người dùng đăng ký "gmail.com" có tên miền riêng.

Tôi muốn tránh sử dụng các phương pháp như "đặt tệp html vào thư mục gốc của tên miền" hoặc "thiết lập bản ghi TXT" vì vậy tôi đã tự hỏi tôi nên làm thế nào.

Tập tin trong thư mục gốc

Đừng loại bỏ khả năng đưa tệp vào thư mục gốc của trang web công ty. Nó hoạt động tốt và được sử dụng rộng rãi: Google Webmaster Tools là một ví dụ về kỹ thuật như vậy. Điều này làm cho cách tiếp cận này hấp dẫn: vì hầu hết người dùng đã biết, nên họ sẽ không bị mất. Ngoài ra, nó không yêu cầu bất kỳ kiến ​​thức kỹ thuật nào, không giống như sửa đổi các bản ghi MX (hầu hết các công ty nhỏ thậm chí sẽ không biết bản ghi MX là gì).

Để tránh gây ô nhiễm thư mục gốc, bạn nên yêu cầu chỉ đặt một tệp khi thực hiện kiểm tra. Khi bạn đã tìm thấy tệp, người dùng có thể xóa tệp đó.

Lưu ý rằng người dùng không có bất kỳ trang web công ty nào sẽ không thể truy cập dịch vụ của bạn, nhưng tôi không nghĩ có nhiều khách hàng trong trường hợp này.

Lưu ý rằng:

• Bạn nên kiểm tra cả http://example.com/file và http://www.example.com/file , vì một số trang web được định cấu hình theo cách chúng không hỗ trợ biểu mẫu http://example.com/ .

• Bạn cũng có thể hỗ trợ HTTPS, vì tôi nghĩ rằng có rất nhiều công ty không có sự chuyển hướng từ HTTP sang HTTPS.

• Bạn không nên chấp nhận bất kỳ tên miền cấp ba nào khác, chẳng hạn như http://mysite.example.com/ , vì điều này sẽ giúp người nào đó đã mua tên miền cấp ba có thể tuyên bố rằng mình là chủ sở hữu của tên miền cấp hai ví dụ.com .

Gửi một e-mail

Gửi một e-mail với liên kết bí mật là khá khó khăn. Bạn không thể làm điều đó với Firstname.lastname@example.com, bởi vì một người nhất định có thể không có địa chỉ e-mail công ty (đây thường là trường hợp khởi nghiệp, nơi mọi người thích sử dụng địa chỉ cá nhân của họ).

Sử dụng e-mail như admin@example.com sẽ không hoạt động trong một số trường hợp.

• Đầu tiên, luôn có các công ty không có postmaster@example.com, admin@example.com, v.v., nhưng có địa chỉ email "hệ thống" cụ thể của họ mà bạn chưa đưa vào danh sách trắng. Xem xét cụ thể các công ty nước ngoài; ví dụ, ở Pháp, không có gì lạ khi sử dụng " Ad quản lý eu r" thay vì "Quản trị viên", bao gồm cả địa chỉ email và tên tài khoản.

• Thứ hai, nhiều công ty nhỏ không truy cập và không biết cách truy cập email hệ thống của họ. Họ trả tiền thậm chí không biết họ có lạm dụng@example.com với hàng trăm e-mail khẩn cấp đang chờ trả lời.

  Vì lý do tương tự, bạn không thể căn cứ vào hồ sơ WHOIS cho địa chỉ email.

Câu hỏi có hiệu lực: "Sở hữu một tên miền email có nghĩa là gì?".

Sở hữu một trang web được xác định bởi khả năng đặt một tập tin vào thư mục gốc . Người dùng thông thường có thể đặt một tập tin http://example.com/~user42/validation.txtnhưng không bật http://example.com/validation.txt.

Đối với email, không có hệ thống phân cấp như vậy. Tuy nhiên, postmasterđịa chỉ là đặc biệt. (Dành riêng cho mỗi RFC2142 ) Bạn sẽ không thể tạo postmaster@gmail.com. Do đó, khả năng tạo và / hoặc truy cập postmaster@là bằng chứng bạn cần cho quyền sở hữu tên miền email.

Thấy trong các nhận xét của bạn rằng bạn có thể không thích sử dụng phương pháp tập tin gốc trong trang web, một phương án có thể hoạt động là

Xác minh quyền sở hữu bằng WHOIS

Bạn sẽ cần phải nhận được tên miền được yêu cầu (ví dụ stackexchange.com) và một trong những email được liệt kê trong đầu ra WHOIS cho tên miền đó . (Lưu ý rằng điều này sẽ không hoạt động đối với đăng ký bí mật / riêng tư, nhưng nếu đối tượng của bạn là tập đoàn thì điều này thường không thành vấn đề)

Ví dụ:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Bạn thậm chí có thể thực hiện whoistra cứu tương tác và cung cấp danh sách thả xuống của các email hợp lệ (trong trường hợp này là chỉ sysadmin-team@stackoverflow.com). Sau đó, bạn sẽ gửi mã xác minh / liên kết đến email đã chọn.

Yêu cầu người dùng của bạn thêm bản ghi TXT vào tên miền của họ bằng tham chiếu đến tài khoản người dùng của họ trên trang web của bạn (tên người dùng, ID hoặc mã thông báo tùy ý được tạo khi yêu cầu người dùng xác minh tên miền của họ).

Tôi nhớ đã thêm một bản ghi được gọi adn_verification=<my user name>trên mạng xã hội để hiển thị tên miền của mình khi được xác minh và tôi nghĩ rằng nó khá gọn gàng và không yêu cầu bạn phải có tên miền trỏ đến máy chủ web.

Để thêm vào các đề xuất đã có trên trang: Tôi khuyên bạn nên cung cấp cho người dùng các tùy chọn trong cách anh ta xác thực tên miền của mình. Các đề xuất khác trên trang đều hoàn toàn có thể sử dụng được, nhưng đôi khi bạn rơi vào tình huống ai đó muốn xác minh tên miền của họ chỉ có quyền truy cập hạn chế vào máy chủ hoặc thậm chí trang web của họ. Ví dụ: người dùng của bạn có thể không thể thêm các bản ghi tên miền hoặc tệp trong thư mục gốc.

Ví dụ: Troy Hunt cho phép người dùng tìm kiếm toàn bộ tên miền trong cơ sở dữ liệu các tài khoản bị xâm nhập của mình, nhưng trước tiên bạn cần xác minh. Ông cho người dùng lựa chọn 4 phương pháp:

1. Qua email;
2. thông qua thẻ meta;
3. Một tập tin tải lên;
4. một bản ghi TXT.

Trong cả 4 trường hợp này, anh ta yêu cầu người dùng nhập một giá trị cụ thể ở đâu đó mà anh ta xác minh.

Lời giải thích có tại http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .

Bạn có thể đủ khả năng tránh việc sử dụng webmail miễn phí để đăng ký?

Đó là những gì Brium không: bạn không thể đăng nhập với một @gmail.com, @live.com, vv e-mail - bạn phải sử dụng của riêng bạn.

Và nó co cụm bạn bởi điều này.

Nếu bạn đang nhắm mục tiêu các doanh nghiệp, đó nên là một cách tốt để đi.

Bạn vẫn có thể gặp vấn đề khi biết ông chủ là ai (giả sử là quản trị viên của nhóm đó), nhưng điều đó có thể không quan trọng - ông chủ có lẽ nên có công cụ để nói với bất kỳ nhân viên nào chuyển quyền sở hữu cho anh ta, cung cấp cho ai đó đăng ký trước sếp.