Bagaimana cara memvalidasi domain yang diberikan dimiliki oleh pengguna?

Saya sedang menulis perangkat lunak yang sebagian besar akan digunakan oleh perusahaan.

Saya kemudian memiliki ide untuk memberi perusahaan cara untuk mendaftarkan domain email mereka sehingga setiap pengguna yang mendaftar dengan email dari domain yang diberikan akan secara otomatis dimasukkan ke dalam grup perusahaan.

Saya tahu Slack melakukan sesuatu seperti ini dan berfungsi, tetapi ada beberapa masalah ... misalnya saya baru saja mendaftarkan "live.it" (versi Italia live.com oleh Microsoft).

Saya tidak bisa berasumsi bahwa jika pengguna telah memvalidasi email dengan domain tertentu maka aman untuk menempatkan setiap pengguna dengan domain_mail yang sama dalam grup yang sama.

Misalnya, jika saya mendaftar dengan me@gmail.com saya tidak ingin membiarkan pengguna mendaftar "gmail.com" memiliki domain sendiri.

Saya ingin menghindari penggunaan metode seperti "meletakkan file html di root domain" atau "mengatur catatan TXT" jadi saya bertanya-tanya bagaimana yang harus saya lakukan.

File di direktori root

Jangan abaikan kemungkinan menempatkan file di direktori root situs web perusahaan. Ini berfungsi dengan baik dan banyak digunakan: Alat Webmaster Google adalah salah satu contoh dari teknik tersebut. Ini membuat pendekatan ini menarik: karena sebagian besar pengguna sudah mengetahuinya, mereka tidak akan hilang. Juga, itu tidak memerlukan pengetahuan teknis, tidak seperti memodifikasi catatan MX (sebagian besar perusahaan kecil bahkan tidak tahu apa itu MX record).

Untuk menghindari mencemari direktori root, Anda harus meminta untuk meletakkan file hanya ketika melakukan pemeriksaan Anda. Setelah Anda menemukan file, pengguna mungkin dapat menghapusnya.

Perhatikan bahwa pengguna yang tidak memiliki situs web perusahaan tidak akan dapat mengakses layanan Anda, tetapi saya rasa tidak ada banyak pelanggan dalam hal ini.

Perhatikan bahwa:

• Anda harus memeriksa http://example.com/file dan http://www.example.com/file , karena beberapa situs web dikonfigurasi dengan cara yang tidak mendukung formulir http://example.com/ .

• Anda dapat mendukung HTTPS juga, mengingat saya tidak berpikir ada banyak perusahaan tanpa pengalihan dari HTTP ke HTTPS.

• Anda tidak boleh menerima domain tingkat ketiga lainnya seperti http://mysite.example.com/ , karena ini akan memungkinkan seseorang yang membeli domain tingkat ketiga untuk mengklaim bahwa ia adalah pemilik domain tingkat kedua example.com .

Mengirim email

Mengirim e-mail dengan tautan rahasia agak bermasalah. Anda tidak dapat melakukannya ke firstname.lastname@example.com, karena orang yang diberikan mungkin tidak memiliki alamat email perusahaan (ini sering terjadi pada startup, di mana orang lebih suka menggunakan alamat pribadi mereka).

Menggunakan e-mail seperti admin@example.com tidak akan berfungsi dalam beberapa kasus.

• Pertama, selalu ada perusahaan yang tidak memiliki postmaster@example.com, admin@example.com dll., Tetapi memiliki alamat e-mail "sistem" khusus yang belum masuk daftar putih. Pertimbangkan secara khusus perusahaan asing; misalnya, di Prancis, tidak biasa menggunakan "Administrat eu r" daripada "Administrator", termasuk untuk alamat email dan nama akun.

• Kedua, banyak perusahaan kecil yang tidak mengakses dan tidak tahu cara mengakses email sistem mereka. Mereka membayar bahkan tidak tahu mereka memiliki abuse@example.com dengan ratusan email mendesak menunggu balasan mereka.

  Untuk alasan yang sama, Anda tidak dapat mendasarkan diri pada catatan WHOIS untuk alamat email.

Pertanyaannya berlaku: "Apa artinya memiliki domain email?".

Memiliki situs web ditentukan oleh kemampuan untuk meletakkan file di root . Pengguna biasa mungkin dapat menempatkan file http://example.com/~user42/validation.txttetapi tidak aktif http://example.com/validation.txt.

Untuk email, tidak ada hierarki seperti itu. Namun, postmasteralamatnya spesial. (Dicadangkan per RFC2142 ) Anda tidak akan dapat membuat postmaster@gmail.com. Dengan demikian, kemampuan untuk membuat dan / atau mengakses postmaster@adalah bukti yang Anda butuhkan untuk kepemilikan domain email.

Melihat dalam komentar Anda bahwa Anda mungkin tidak memilih untuk menggunakan metode file-in-root-of-situs web, alternatif yang mungkin berhasil adalah dengan

Verifikasi kepemilikan menggunakan WHOIS

Anda perlu mendapatkan domain yang diminta (misalnya stackexchange.com), dan salah satu email yang tercantum dalam output WHOIS untuk domain itu . (Perhatikan bahwa ini tidak akan berfungsi untuk pendaftaran rahasia / pribadi, tetapi jika audiens Anda adalah perusahaan, biasanya ini bukan masalah)

Sebagai contoh:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Anda bahkan dapat melakukan whoispencarian secara interaktif dan memberikan daftar dropdown dari email yang valid (dalam hal ini, adil sysadmin-team@stackoverflow.com). Anda kemudian akan mengirim kode verifikasi / tautan ke email yang dipilih.

Minta pengguna Anda untuk menambahkan data TXT ke domain mereka dengan referensi ke akun pengguna mereka di situs Anda (nama pengguna, ID, atau token sewenang-wenang yang dihasilkan saat meminta pengguna untuk memverifikasi domain mereka).

Saya ingat menambahkan catatan yang dipanggil adn_verification=<my user name>di jejaring sosial untuk menampilkan domain saya sebagai diverifikasi, dan saya pikir itu cukup rapi dan tidak mengharuskan Anda mengarahkan domain ke server web.

Untuk menambahkan saran yang sudah ada di halaman: Saya sarankan untuk memberikan opsi kepada pengguna tentang bagaimana dia memvalidasi domainnya. Saran lain pada halaman semuanya dapat digunakan dengan sempurna, tetapi kadang-kadang Anda berada dalam situasi di mana seseorang yang ingin memverifikasi domain mereka hanya memiliki akses terbatas ke server mereka atau bahkan situs web mereka. Misalnya, pengguna Anda mungkin tidak dapat menambahkan catatan domain atau file di root domain.

Misalnya, Troy Hunt memungkinkan pengguna untuk mencari seluruh domain dalam database akun yang disusupi, tetapi Anda harus memverifikasi terlebih dahulu. Ia memberi pengguna pilihan 4 metode:

1. Melalui email;
2. melalui tag meta;
3. Unggah file;
4. catatan TXT.

Dalam semua 4 kasus ini, ia mengharuskan pengguna untuk memasukkan nilai tertentu di suatu tempat yang ia verifikasi.

Penjelasannya ada di http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .

Bisakah Anda menghindari penggunaan webmail gratis untuk pendaftaran?

Yang ini apa Brium tidak: Anda tidak dapat masuk dengan @gmail.com, @live.com, dll e-mail - Anda harus menggunakan Anda sendiri.

Dan ini mengelompokkan Anda dengan ini.

Jika Anda menargetkan bisnis, itu harus menjadi cara yang baik untuk pergi.

Anda mungkin masih memiliki masalah untuk mengetahui siapa bosnya (katakanlah, admin grup itu), tetapi mungkin tidak terlalu penting - bos mungkin harus memiliki alat untuk memberi tahu karyawan mana pun untuk mentransfer kepemilikan kepadanya, asalkan seseorang terdaftar sebelum bos.