Belirli bir alanın kullanıcıya ait olduğunu nasıl doğrulayabilirim?


10

Çoğunlukla şirketler tarafından kullanılacak bir yazılım yazıyorum.

Daha sonra, şirketlere e-posta alanlarını kaydettirmek için bir yol verme fikrim vardı, böylece belirli bir alanın e-postasına kaydolan her kullanıcı otomatik olarak şirket grubuna konacak.

Slack'in böyle bir şey yaptığını biliyorum ve işe yarıyor, ancak bazı problemler var ... örneğin "live.it" (Microsoft tarafından live.com İtalyanca sürümü) kaydettim.

Bir kullanıcı belirli bir alan adına sahip bir e-postayı doğruladıysa, aynı etki alanına sahip her kullanıcıyı aynı gruba koymak güvenli olduğunu varsayamam.

Örneğin, me@gmail.com ile kayıt yaptırırsam kullanıcının "gmail.com" kaydının kendi etki alanına sahip olmasına izin vermek istemiyorum.

"Etki alanının köküne bir html dosyası koy" veya "bir TXT kaydı ayarla" gibi yöntemlerin kullanılmasını önlemek istiyorum, bu yüzden nasıl yapmam gerektiğini merak ediyordum.


11
Alan adının kök dizinine dosya koymayı istemek sizin için neden sorun oluyor? Google Web Yöneticisi Araçları tam olarak bunu yapar. Dahası, kalıcı bir dosya istemenize gerek yoktur: kullanıcı dosyayı sunucuya koyar, kontrolü yaparsınız ve dosya kaldırılabilir.
Arseni Mourzenko

9
Kurulumunuz o kadar yanlışsa, dışarıdaki kullanıcılar ana web sitenize ulaşamazsa, sitenizi Google Web Yöneticisi Araçları'na eklemek ve Google'ı suçlamak yerine endişe etmek yerine kurulumdan endişe etmeli ve sistem yöneticilerinizi suçlamalısınız.
Arseni Mourzenko

1
Onlara daha önce birçok kez kullandıkları ve zaten kullandıkları bir yol vermek yerine?
Arseni Mourzenko

6
@FezVrasta: İki hedefiniz olduğunu unutmayın : yetkili kullanıcılara erişim izni vermek ve yetkisiz kullanıcılara erişimi reddetmek. Yetkili kullanıcılar için kolaylaştırmak, genellikle yetkisiz kullanıcılar için de kolaylaştırır.
MSalters

4
DNS kayıt yoluna giderseniz, MX değil, muhtemelen TXT kayıtlarını kullanmanız gerekir.
Aaron Dufour

Yanıtlar:


20

Kök dizindeki dosya

Kurumsal web sitesinin kök dizinine dosya koyma olasılığını atmayın. İyi çalışır ve yaygın olarak kullanılır: Google Web Yöneticisi Araçları, bu tekniğin bir örneğidir. Bu, bu yaklaşımı çekici hale getirir: çoğu kullanıcı zaten bildiği için kaybolmazlar. Ayrıca, MX kayıtlarını değiştirmenin aksine herhangi bir teknik bilgi gerektirmez (çoğu küçük şirket MX kaydının ne olduğunu bile bilemez).

Kök dizini kirletmekten kaçınmak için, yalnızca çeklerinizi yaparken bir dosya koymanız gerekir. Dosyayı bulduktan sonra, kullanıcı dosyayı kaldırabilir.

Kurumsal web sitesi olmayan kullanıcıların hizmetinize erişemeyeceğini unutmayın, ancak bu durumda çok fazla müşteri olduğunu düşünmüyorum.

Bunu not et:

  • Her iki kontrol etmelidir http://example.com/file ve http://www.example.com/file bazı web siteleri desteklemeyen bir şekilde yapılandırılması nedeniyle, http://example.com/ formu.

  • HTTP'den HTTPS'ye yönlendirme olmayan pek çok şirket olduğunu düşünmüyorum, HTTPS'yi de destekleyebilirsiniz.

  • Aşağıdaki gibi başka bir üçüncü düzey etki kabul etmemelisiniz http://mysite.example.com/ bu onun ikinci düzey alan adının sahibi olduğunu iddia bir üçüncü düzey etki satın birisi için mümkün kılar, çünkü example.com .

Bir e-posta göndermek

Gizli bağlantı içeren bir e-posta göndermek oldukça sorunludur. Bunu firstname.lastname@example.com olarak yapamazsınız, çünkü belirli bir kişinin kurumsal bir e-posta adresi olmayabilir (bu genellikle kişilerin kişisel adreslerini kullanmayı tercih ettiği girişimlerdir).

Admin@example.com gibi e-postaların kullanılması bazı durumlarda çalışmaz.

  • İlk olarak, her zaman postmaster@example.com, admin@example.com vb. Olmayan ancak beyaz listeye eklemediğiniz belirli "sistem" e-posta adreslerine sahip şirketler vardır. Özellikle yabancı şirketleri düşünün; örneğin, Fransa'da, e-posta adresleri ve hesap adları da dahil olmak üzere "Yönetici" yerine "Yönetici ab " kullanmak sıra dışı değildir .

  • İkincisi, birçok küçük şirket sistem e-postalarına erişmez ve nasıl erişeceğini bilmez. Yanıtlarını bekleyen yüzlerce acil e-posta ile abuse@example.com'u bile bilmiyorlar.

    Aynı nedenle, e-posta adresi için kendinizi WHOIS kayıtlarına dayandıramazsınız.


Kullanıcılara "info @", "yönetici @" "postmaster @" gibi doğrulama e-postaları göndermeye ne dersiniz?
Fez Vrasta

@FezVrasta - e-posta adreslerini taklit etmek inanılmaz derecede kolaydır.
Oded

"
İnfo

6
@FezVrasta - bir alan adının kendisiyle ilişkilendirilmiş e-posta sunucuları olmayabilir ve varsa, üzerinde info@(veya herhangi bir yerel adresin) tanımlanacağı veya izlenen bir tümünü yakalama adresi olacağının garantisi yoktur .
Oded

3
msgstr "belirli bir alanın e-postasına kaydolan her kullanıcının otomatik olarak şirket grubuna girmesi için e-posta alan adlarını kaydedin.". Maalesef soru, bir e-posta sunucusu alabileceğinizi açıkça ortaya koyuyor . Bu alternatif bir web sunucusu, varsayar değil , belirli bir.
MSalters

17

Sorusu yürürlükte olduğu: "Bu ne anlama geliyor ne kendi email domain?".

Bir web sitesine sahip olmak, bir dosyayı kök dizinine yerleştirme özelliği ile tanımlanır . Sıradan kullanıcılar bir dosyayı koyabilir, http://example.com/~user42/validation.txtancak açamazlar http://example.com/validation.txt.

E-posta için böyle bir hiyerarşi yoktur. Ancak, postmasteradres özeldir. ( RFC2142 uyarınca ayrılmıştır ) Oluşturmanız mümkün değildir postmaster@gmail.com. Bu nedenle, oluşturma ve / veya erişim yeteneği, postmaster@e-posta etki alanı sahipliği için gereken kanıttır.


1
Bu uzmanlık bir spesifikasyonun parçası mı, e-posta sunucularının ortak bir yerleşik bileşeni mi yoksa sadece bir kural mı?
DougM

8
@DougM: RFC 2142
MSalters

Teşekkürler, bu yüzden ek seçenekler postmaster @ kullanımı olacaktır, teşekkürler
Fez Vrasta

5
@MSalters: Bu RFC'yi cevabınıza koymalısınız
Bergi

1
Birçok postmaster @ alan adı için doğru kişiye veya hiç kimseye gitmez. Teknik olarak alan sahipliğini belirlemenin bir yolu olsa da, bunu pratik olarak kullanamazsınız.
JamesRyan

10

Yorumlarınızda, web sitesi içindeki kök dosya yöntemini kullanmayı tercih etmeyeceğinizi görmek, işe yarayabilecek bir alternatif

WHOIS kullanarak sahipliğini doğrulayın

İstenen alan adını (örneğin stackexchange.com) ve söz konusu alan için WHOIS çıktısında listelenen e-postalardan birini almanız gerekir . (Bunun gizli / özel kayıtlar için işe yaramayacağını unutmayın, ancak kitleniz şirketler ise bu genellikle sorun değildir)

Örneğin:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Hatta whoisaramayı etkileşimli olarak yapabilir ve geçerli e-postaların açılır listesini sağlayabilirsiniz (bu durumda, sadece sysadmin-team@stackoverflow.com). Ardından, seçilen e-postaya bir doğrulama kodu / bağlantısı gönderirsiniz.


Belirli SSL sertifikalarını doğrularken bu yapılır. Muhtemelen otomatik bir yaklaşım değildir. Ama iyi bir ikincil seçenek olurdu.
GrandmasterB

@GrandmasterB Neden otomatikleştirilemediğini anlamıyorum: whois araması, e-postaları grep, kullanıcının birini seçmesine izin ver, e-postada doğrulama kodu gönder.
Digital Chris

En büyük iki müşterimle bu şekilde test ettim ve her ikisi de
whois'te

1
Bu arada, bu bir alternatif olarak eklenebilir.
Fez Vrasta

6

Kullanıcılarınızdan, sitenizdeki kullanıcı hesaplarına (kullanıcı adlarını, kimliklerini veya kullanıcıdan alan adlarını doğrulamasını isterken oluşturulan rastgele bir jetonu) başvurarak alan adlarına bir TXT kaydı eklemelerini isteyin.

adn_verification=<my user name>Alanımı doğrulanmış olarak görüntülemek için sosyal ağda çağrılan bir kayıt eklediğimi hatırlıyorum ve bunun oldukça düzgün olduğunu ve alan adının bir web sunucusunu işaret etmesini gerektirmediğini düşündüm.


Kullanıcıların büyük bir kısmı TXT kaydının ne olduğunu bilmeyecek ve bilenler bunu ayarlayacak kadar bilgili olmayacaklardır.
Arseni Mourzenko

1
@MainMa hala uygulanması iyi bir özellik.

1
+1. Bir alan adınızın olması, üzerinde çalışan bir web sunucunuz olduğu anlamına gelmez (bu özel durumda bir şirketin muhtemelen her zaman bir web sitesi olacaktır :)).
Matt

FWIW, Office 365 için özel bir etki alanı istiyorsanız Microsoft'un kullandığı yaklaşım budur.
Casey

2

Sayfada bulunan önerilere eklemek için: Kullanıcıya, alan adını nasıl doğruladığı konusunda seçenekler sunmanızı öneririm. Sayfadaki diğer önerilerin tümü mükemmel bir şekilde kullanılabilir, ancak bazen alanlarını doğrulamak isteyen birisinin sunucularına ve hatta web sitelerine yalnızca sınırlı erişimi olduğu durumdasınız. Örneğin, kullanıcınız etki alanı köküne etki alanı kayıtları veya dosyalar ekleyemeyebilir.

Örneğin, Troy Hunt, kullanıcıların güvenliği ihlal edilmiş hesaplar veritabanında tüm bir alanı aramasına izin verir, ancak önce doğrulamanız gerekir. Kullanıcıya 4 yöntem seçeneği sunar:

  1. E-posta yoluyla;
  2. bir meta etiket aracılığıyla;
  3. Bir dosya yükleme;
  4. bir TXT kaydı.

Bu durumların 4ünde, kullanıcının doğruladığı bir yere belirli bir değer girmesini gerektirir.

Açıklama http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html adresindedir .


teşekkürler ama e-posta doğrulaması nasıl çalışır? Bir "gmail.com" veya "hotmail.com" alan adını doğrulamamı nasıl engelleyebilirler? (veya daha iyisi, bilinmeyen bazı ücretsiz web posta hizmeti).
Fez Vrasta

Ne yaparsanız yapın, açıkça "bu adresler ASLA doğrulanamaz" demediğiniz sürece, web postası sağlayıcısının kendi alan adını kaydettirme şansı her zaman vardır ve bu konuda gerçekten yapabileceğiniz çok şey yoktur. Yapabileceğiniz tek şey, bazı alan adlarının tamamen doğrulanmasını önlemektir. Mailprovider.com'un doğrulanmasını önlemenize gerek yoktur, sadece joe.shmuck@mailprovider.com adının tüm mailprovider.com etki alanını doğrulamayı başarmasını engellemeniz gerekir.
Nzall

tamam, ancak bir e-postanın bir şirketin veya ücretsiz bir web posta hizmetinin parçası olup olmadığını bilmenin bir yolu yok.
Fez Vrasta

1
Bunun için bir beyaz liste tutmanız gerekecek, korkarım. diğer bir seçenek ise her alanın bir insan tarafından onaylanması gerektiğidir. Bunun yeni başvuru sahipleri için daha sıkıntılı hale geldiğini biliyorum, ancak onayın sadece bir kez yapılması gerekiyor. Daha sonra, bu alan adının ücretsiz bir web posta hizmeti değil onaylandığını bilirsiniz.
Nzall

0

Kayıt için ücretsiz web postalarını kullanmaktan kaçınmayı göze alabilir misiniz?

Ne en That Brium vermez: Eğer oturum olamaz bir ile @gmail.com, @live.comvb e-posta - Kendi kullanmak zorunda.

Ve sizi bu şekilde kümelendiriyor.

İşletmeleri hedefliyorsanız, bu iyi bir yol olmalıdır.

Yine de patronun kim olduğunu bilmek probleminiz olabilir (örneğin, o grubun yöneticisi), ancak bu o kadar önemli olmayabilir - patron muhtemelen herhangi bir çalışana sahipliğini kendisine aktarmasını söyleyecek araçlara sahip olmalıdır. patrondan önce kayıtlı.


3
Bir alan adının ücretsiz bir web postası olup olmadığını nasıl kontrol edersiniz? En az yüzlerce var.
svick

Aynı şeyi yazıyordum :)
Fez Vrasta

İşte bunların bir listesini listeleyen çok aktif olmayan bir proje: github.com/tarr11/Webmail-Domains . Öyle mi o kritik bunlardan herhangi slip sahip? Kullanıcıların büyük çoğunluğunu (Gmail, Live, Yahoo ve benzeri) kapsamak için yeterli değil mi? Yazılımınızın ne yaptığını bilmiyorum, ama - birisinin bu sınırlamadan kaçınması faydalı olacak mı? Yazılım bir grupta tek başına mı yoksa meslektaşları olmadan da yararlı olur mu?
mgarciaisaia

Yanlış gruba bazı istenmeyen kullanıcıların sahip olması sorunlara neden olabilmesi için yazılımıma yüklenen bilgilere temel bir erişim sağlar. Bu arada bir çözüm olabilir çünkü kendi sahibi olmayan bir alan adı kaydederse veri sahibinin bir sorunu olacak ... Bence
Fez Vrasta
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.