Wie kann ich überprüfen, ob eine bestimmte Domain dem Benutzer gehört?

Ich schreibe eine Software, die hauptsächlich von Unternehmen verwendet wird.

Ich hatte dann die Idee, Unternehmen die Möglichkeit zu geben, ihre E-Mail-Domain zu registrieren, damit jeder Benutzer, der sich mit einer E-Mail der angegebenen Domain registriert, automatisch in die Unternehmensgruppe aufgenommen wird.

Ich weiß, dass Slack so etwas macht und es funktioniert, aber es gibt einige Probleme ... zum Beispiel habe ich gerade "live.it" registriert (die italienische Version von live.com von Microsoft).

Ich kann nicht einfach davon ausgehen, dass es sicher ist, jeden Benutzer mit derselben Domain_mail in dieselbe Gruppe zu setzen, wenn ein Benutzer eine E-Mail mit einer bestimmten Domain validiert hat.

Wenn ich mich beispielsweise bei me@gmail.com registriere, möchte ich nicht, dass sich der Benutzer registriert. "Gmail.com" hat eine eigene Domain.

Ich möchte die Verwendung von Methoden wie "Eine HTML-Datei in das Stammverzeichnis der Domäne einfügen" oder "Einen TXT-Datensatz festlegen" vermeiden, also habe ich mich gefragt, wie ich das machen soll.

Datei im Stammverzeichnis

Verwerfen Sie nicht die Möglichkeit, eine Datei in einem Stammverzeichnis der Unternehmenswebsite abzulegen. Es funktioniert gut und ist weit verbreitet: Google Webmaster-Tools sind ein Beispiel für eine solche Technik. Dies macht diesen Ansatz attraktiv: Da die meisten Benutzer ihn bereits kennen, gehen sie nicht verloren. Im Gegensatz zum Ändern von MX-Datensätzen sind keine technischen Kenntnisse erforderlich (die meisten kleinen Unternehmen wissen nicht einmal, was ein MX-Datensatz ist).

Um eine Verschmutzung des Stammverzeichnisses zu vermeiden, sollten Sie nur bei Ihren Überprüfungen nach einer Datei fragen. Sobald Sie die Datei gefunden haben, kann der Benutzer sie möglicherweise entfernen.

Beachten Sie, dass Benutzer, die keine Unternehmenswebsite haben, nicht auf Ihren Service zugreifen können, aber ich glaube, dass es in diesem Fall nicht viele Kunden gibt.

Beachten Sie, dass:

• Sie sollten sowohl nach http://example.com/file als auch nach http://www.example.com/file suchen , da einige Websites so konfiguriert sind, dass sie das http://example.com/-Formular nicht unterstützen .

• Möglicherweise unterstützen Sie auch HTTPS, da es meines Erachtens nicht viele Unternehmen gibt, die keine Umleitung von HTTP zu HTTPS durchführen.

• Sie sollten keine anderen Domains der dritten Ebene wie http://mysite.example.com/ akzeptieren , da dies jemandem, der Domains der dritten Ebene gekauft hat, ermöglicht, zu behaupten, er sei der Eigentümer der Domain der zweiten Ebene example.com .

Eine E-Mail senden

Das Senden einer E-Mail mit geheimem Link ist ziemlich problematisch. Sie können dies nicht mit firstname.lastname@example.com tun, da eine bestimmte Person möglicherweise keine Unternehmens-E-Mail-Adresse hat (dies ist häufig bei Startups der Fall, bei denen Personen ihre persönliche Adresse bevorzugen).

Die Verwendung von E-Mails wie admin@example.com funktioniert in einigen Fällen nicht.

• Erstens gibt es immer Unternehmen, die nicht über postmaster@example.com, admin@example.com usw. verfügen, sondern über ihre speziellen "System" -E-Mail-Adressen, die Sie nicht auf die Whitelist gesetzt haben. Betrachten Sie speziell ausländische Unternehmen; beispielsweise in Frankreich, ist es nicht ungewöhnlich „Administrat zu verwenden eu r“ anstelle von „Administrator“, unter anderem für E-Mail - Adressen und Kontonamen.

• Zweitens greifen viele kleine Unternehmen nicht auf ihre System-E-Mails zu und wissen nicht, wie sie darauf zugreifen sollen. Sie zahlen nicht einmal, dass sie missbrauch@example.com haben, und Hunderte dringender E-Mails warten auf ihre Antwort.

  Aus dem gleichen Grund können Sie sich nicht auf WHOIS-Datensätze für die E-Mail-Adresse stützen.

Die Frage ist in der Tat: „Was bedeutet es , besitzen eine E - Mail - Domain?“.

Der Besitz einer Website wird durch die Möglichkeit definiert, eine Datei im Stammverzeichnis abzulegen . Normale Benutzer können möglicherweise eine Datei einfügen, http://example.com/~user42/validation.txtjedoch nicht http://example.com/validation.txt.

Für E-Mails gibt es keine solche Hierarchie. Die postmasterAdresse ist jedoch etwas Besonderes. (Reserviert gemäß RFC2142 ) Sie können keine erstellen postmaster@gmail.com. Die Möglichkeit zum Erstellen und / oder Zugreifen postmaster@ist somit der Beweis, den Sie für den Besitz einer E-Mail-Domain benötigen.

In Ihren Kommentaren zu sehen, dass Sie möglicherweise nicht die Methode "Datei im Stammverzeichnis der Website" bevorzugen, ist eine Alternative, die möglicherweise funktioniert

Überprüfen Sie den Besitz mit WHOIS

Sie müssten beispielsweise die angeforderte Domain stackexchange.comund eine der in der WHOIS-Ausgabe für diese Domain aufgeführten E-Mails erhalten . (Beachten Sie, dass dies bei geheimen / privaten Registrierungen nicht funktioniert. Wenn es sich bei Ihrem Publikum jedoch um Unternehmen handelt, ist dies normalerweise kein Problem.)

Zum Beispiel:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Sie können die whoisSuche sogar interaktiv durchführen und eine Dropdown-Liste der gültigen E-Mails bereitstellen (in diesem Fall nur sysadmin-team@stackoverflow.com). Sie würden dann einen Bestätigungscode / Link an die ausgewählte E-Mail senden.

Bitten Sie Ihre Benutzer, ihrer Domain einen TXT-Eintrag mit einem Verweis auf ihr Benutzerkonto auf Ihrer Site hinzuzufügen (Benutzername, ID oder ein beliebiges Token, das generiert wird, wenn der Benutzer aufgefordert wird, seine Domain zu überprüfen).

Ich erinnere mich, dass ich einen Datensatz hinzugefügt habe, der adn_verification=<my user name>in einem sozialen Netzwerk aufgerufen wurde , um meine Domain als verifiziert anzuzeigen, und ich fand das ziemlich ordentlich und erfordert nicht, dass die Domain auf einen Webserver verweist.

So ergänzen Sie die bereits auf der Seite enthaltenen Vorschläge: Ich empfehle, dem Benutzer Optionen für die Validierung seiner Domain anzugeben. Die anderen Vorschläge auf der Seite sind alle perfekt verwendbar, aber manchmal befinden Sie sich in einer Situation, in der jemand, der seine Domain überprüfen möchte, nur eingeschränkten Zugriff auf seinen Server oder sogar seine Website hat. Beispielsweise kann Ihr Benutzer möglicherweise keine Domäneneinträge oder Dateien im Domänenstamm hinzufügen.

Mit Troy Hunt können Benutzer beispielsweise in seiner Datenbank mit gefährdeten Konten nach einer gesamten Domain suchen. Sie müssen dies jedoch zuerst überprüfen. Er gibt dem Benutzer die Wahl zwischen 4 Methoden:

1. Per Email;
2. durch ein Meta-Tag;
3. Ein Datei-Upload;
4. ein TXT-Datensatz.

In allen vier Fällen muss der Benutzer irgendwo einen bestimmten Wert eingeben, anhand dessen er überprüft.

Die Erklärung finden Sie unter http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .

Können Sie es sich leisten, die Verwendung kostenloser Webmails für die Registrierung zu vermeiden?

Das ist , was Brium ist: Sie können nicht-Anmelde mit einem @gmail.com, @live.cometc E-Mail - Sie haben Ihre eigenen verwenden.

Und es gruppiert dich dadurch.

Wenn Sie auf Unternehmen abzielen, sollte dies ein guter Weg sein.

Sie könnten immer noch das Problem haben, zu wissen, wer der Chef ist (z. B. der Administrator dieser Gruppe), aber es ist möglicherweise nicht so wichtig - der Chef sollte wahrscheinlich über die Werkzeuge verfügen, um jedem Mitarbeiter zu sagen, dass er das Eigentum auf ihn übertragen soll, vorausgesetzt, jemand vor dem Chef registriert.