Come convalidare un determinato dominio è di proprietà dell'utente?

Sto scrivendo un software che verrà utilizzato principalmente dalle aziende.

Ho quindi avuto l'idea di dare alle aziende un modo per registrare il loro dominio e-mail in modo tale che ogni utente che si registra con una e-mail del dominio dato venga automaticamente inserito nel gruppo aziendale.

So che Slack fa qualcosa del genere e funziona, ma ci sono alcuni problemi ... per esempio ho appena registrato "live.it" (la versione italiana di live.com di Microsoft).

Non posso solo supporre che se un utente ha convalidato un'email con un dominio specifico, allora è sicuro mettere tutti gli utenti con lo stesso domain_mail nello stesso gruppo.

Ad esempio, se mi registro con me@gmail.com non voglio lasciare che l'utente registri "gmail.com" abbia un proprio dominio.

Vorrei evitare l'uso di metodi come "mettere un file html nella radice del dominio" o "impostare un record TXT", quindi mi chiedevo come avrei dovuto.

File nella directory principale

Non scartare la possibilità di inserire un file in una directory principale del sito Web aziendale. Funziona bene ed è ampiamente utilizzato: Strumenti per i Webmaster di Google è un esempio di tale tecnica. Questo rende attraente questo approccio: poiché la maggior parte degli utenti lo conosce già, non si perderanno. Inoltre, non richiede alcuna conoscenza tecnica, a differenza della modifica dei record MX (la maggior parte delle piccole aziende non saprà nemmeno cosa sia un record MX).

Per evitare di inquinare la directory principale, dovresti chiedere di mettere un file solo quando esegui i controlli. Una volta trovato il file, l'utente potrebbe essere in grado di rimuoverlo.

Tieni presente che gli utenti che non dispongono di un sito Web aziendale non potranno accedere al tuo servizio, ma in questo caso non credo che ci siano molti clienti.

Nota che:

• È necessario controllare sia http://example.com/file che http://www.example.com/file , poiché alcuni siti Web sono configurati in modo da non supportare http://example.com/ form.

• Puoi supportare anche HTTPS, dato che non penso che ci siano molte aziende senza reindirizzamento da HTTP a HTTPS.

• Non dovresti accettare altri domini di terzo livello come http://mysite.example.com/ , perché ciò renderà possibile per chi ha acquistato domini di terzo livello affermare di essere il proprietario del dominio di secondo livello esempio.com .

Invio di un'e-mail

L'invio di un'e-mail con link segreto è piuttosto problematico. Non puoi farlo su firstname.lastname@example.com, perché una determinata persona potrebbe non avere un indirizzo e-mail aziendale (questo è spesso il caso delle startup, dove le persone preferiscono usare il loro indirizzo personale).

L'uso di e-mail come admin@example.com non funzionerà in alcuni casi.

• Innanzitutto, ci sono sempre aziende che non hanno postmaster@example.com, admin@example.com ecc., Ma che hanno i loro particolari indirizzi di posta elettronica "di sistema" che non sono stati autorizzati. Considerare società specificamente straniere; ad esempio, in Francia, non è insolito utilizzare "Administrat eu r" invece di "Administrator", anche per indirizzi e-mail e nomi di account.

• In secondo luogo, molte piccole aziende non accedono e non sanno come accedere alle e-mail di sistema. Pagano nemmeno sapendo di avere abuse@example.com con centinaia di e-mail urgenti in attesa di risposta.

  Per lo stesso motivo, non puoi basarti sui record WHOIS per l'indirizzo e-mail.

La domanda è in effetti: "Cosa significa possedere un dominio e-mail?".

Possedere un sito Web è definito dalla possibilità di mettere un file nella radice . Gli utenti ordinari possono essere in grado di mettere un file http://example.com/~user42/validation.txtma non su http://example.com/validation.txt.

Per la posta elettronica, non esiste una gerarchia del genere. Tuttavia, l' postmasterindirizzo è speciale. (Riservato per RFC2142 ) Non sarai in grado di creare postmaster@gmail.com. Pertanto, la capacità di creare e / o accedere postmaster@è la prova necessaria per la proprietà del dominio e-mail.

Vedendo nei tuoi commenti che potresti non preferire utilizzare il metodo file-in-root-of-website, un'alternativa che potrebbe funzionare è quella di

Verifica la proprietà utilizzando WHOIS

Dovresti ottenere il dominio richiesto (ad esempio stackexchange.com) e una delle e-mail elencate nell'output WHOIS per quel dominio . (Nota che questo non funzionerà per le registrazioni segrete / private, ma se il tuo pubblico è corporativo di solito non è un problema)

Per esempio:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Potresti persino effettuare la whoisricerca in modo interattivo e fornire un elenco a discesa delle e-mail valide (in questo caso, solo sysadmin-team@stackoverflow.com). Invieresti quindi un codice / link di verifica all'email scelta.

Chiedi ai tuoi utenti di aggiungere un record TXT al loro dominio con un riferimento al loro account utente sul tuo sito (nome utente, ID o token arbitrario generato quando chiedi all'utente di verificare il loro dominio).

Ricordo di aver aggiunto un record chiamato adn_verification=<my user name>su un social network per visualizzare il mio dominio come verificato, e ho pensato che fosse abbastanza pulito e non richiedesse che il dominio puntasse a un server web.

Per aggiungere ai suggerimenti già presenti nella pagina: ti consiglio di dare all'utente le opzioni su come convalida il suo dominio. Gli altri suggerimenti sulla pagina sono tutti perfettamente utilizzabili, ma a volte ti trovi nella situazione in cui qualcuno che desidera verificare il proprio dominio ha un accesso limitato al proprio server o addirittura al proprio sito Web. Ad esempio, l'utente potrebbe non essere in grado di aggiungere record o file di dominio nella radice del dominio.

Ad esempio, Troy Hunt consente agli utenti di cercare un intero dominio nel suo database di account compromessi, ma è necessario prima verificarlo. Dà all'utente la scelta di 4 metodi:

1. Via Posta Elettronica;
2. attraverso un meta tag;
3. Un caricamento di file;
4. un record TXT.

In tutti e 4 questi casi, richiede all'utente di immettere un valore specifico in un punto da verificare.

La spiegazione è disponibile all'indirizzo http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .

Potresti permetterti di evitare l'uso di webmail gratuite per la registrazione?

Questo è ciò che Brium fa: non si può firmare-in con @gmail.com, @live.comecc e-mail - è necessario utilizzare il proprio.

E ti raggruppa per questo.

Se stai prendendo di mira le aziende, dovrebbe essere una buona strada da percorrere.

Potresti ancora avere il problema di sapere chi è il capo (diciamo, l'amministratore di quel gruppo), ma potrebbe non essere così importante - il capo dovrebbe probabilmente avere gli strumenti per dire a qualsiasi dipendente di trasferire la proprietà a lui, a condizione che qualcuno registrato davanti al capo.