Belirli bir alanın kullanıcıya ait olduğunu nasıl doğrulayabilirim?

Çoğunlukla şirketler tarafından kullanılacak bir yazılım yazıyorum.

Daha sonra, şirketlere e-posta alanlarını kaydettirmek için bir yol verme fikrim vardı, böylece belirli bir alanın e-postasına kaydolan her kullanıcı otomatik olarak şirket grubuna konacak.

Slack'in böyle bir şey yaptığını biliyorum ve işe yarıyor, ancak bazı problemler var ... örneğin "live.it" (Microsoft tarafından live.com İtalyanca sürümü) kaydettim.

Bir kullanıcı belirli bir alan adına sahip bir e-postayı doğruladıysa, aynı etki alanına sahip her kullanıcıyı aynı gruba koymak güvenli olduğunu varsayamam.

Örneğin, me@gmail.com ile kayıt yaptırırsam kullanıcının "gmail.com" kaydının kendi etki alanına sahip olmasına izin vermek istemiyorum.

"Etki alanının köküne bir html dosyası koy" veya "bir TXT kaydı ayarla" gibi yöntemlerin kullanılmasını önlemek istiyorum, bu yüzden nasıl yapmam gerektiğini merak ediyordum.

Kök dizindeki dosya

Kurumsal web sitesinin kök dizinine dosya koyma olasılığını atmayın. İyi çalışır ve yaygın olarak kullanılır: Google Web Yöneticisi Araçları, bu tekniğin bir örneğidir. Bu, bu yaklaşımı çekici hale getirir: çoğu kullanıcı zaten bildiği için kaybolmazlar. Ayrıca, MX kayıtlarını değiştirmenin aksine herhangi bir teknik bilgi gerektirmez (çoğu küçük şirket MX kaydının ne olduğunu bile bilemez).

Kök dizini kirletmekten kaçınmak için, yalnızca çeklerinizi yaparken bir dosya koymanız gerekir. Dosyayı bulduktan sonra, kullanıcı dosyayı kaldırabilir.

Kurumsal web sitesi olmayan kullanıcıların hizmetinize erişemeyeceğini unutmayın, ancak bu durumda çok fazla müşteri olduğunu düşünmüyorum.

Bunu not et:

• Her iki kontrol etmelidir http://example.com/file ve http://www.example.com/file bazı web siteleri desteklemeyen bir şekilde yapılandırılması nedeniyle, http://example.com/ formu.

• HTTP'den HTTPS'ye yönlendirme olmayan pek çok şirket olduğunu düşünmüyorum, HTTPS'yi de destekleyebilirsiniz.

• Aşağıdaki gibi başka bir üçüncü düzey etki kabul etmemelisiniz http://mysite.example.com/ bu onun ikinci düzey alan adının sahibi olduğunu iddia bir üçüncü düzey etki satın birisi için mümkün kılar, çünkü example.com .

Bir e-posta göndermek

Gizli bağlantı içeren bir e-posta göndermek oldukça sorunludur. Bunu firstname.lastname@example.com olarak yapamazsınız, çünkü belirli bir kişinin kurumsal bir e-posta adresi olmayabilir (bu genellikle kişilerin kişisel adreslerini kullanmayı tercih ettiği girişimlerdir).

Admin@example.com gibi e-postaların kullanılması bazı durumlarda çalışmaz.

• İlk olarak, her zaman postmaster@example.com, admin@example.com vb. Olmayan ancak beyaz listeye eklemediğiniz belirli "sistem" e-posta adreslerine sahip şirketler vardır. Özellikle yabancı şirketleri düşünün; örneğin, Fransa'da, e-posta adresleri ve hesap adları da dahil olmak üzere "Yönetici" yerine "Yönetici ab " kullanmak sıra dışı değildir .

• İkincisi, birçok küçük şirket sistem e-postalarına erişmez ve nasıl erişeceğini bilmez. Yanıtlarını bekleyen yüzlerce acil e-posta ile abuse@example.com'u bile bilmiyorlar.

  Aynı nedenle, e-posta adresi için kendinizi WHOIS kayıtlarına dayandıramazsınız.

Sorusu yürürlükte olduğu: "Bu ne anlama geliyor ne kendi email domain?".

Bir web sitesine sahip olmak, bir dosyayı kök dizinine yerleştirme özelliği ile tanımlanır . Sıradan kullanıcılar bir dosyayı koyabilir, http://example.com/~user42/validation.txtancak açamazlar http://example.com/validation.txt.

E-posta için böyle bir hiyerarşi yoktur. Ancak, postmasteradres özeldir. ( RFC2142 uyarınca ayrılmıştır ) Oluşturmanız mümkün değildir postmaster@gmail.com. Bu nedenle, oluşturma ve / veya erişim yeteneği, postmaster@e-posta etki alanı sahipliği için gereken kanıttır.

Yorumlarınızda, web sitesi içindeki kök dosya yöntemini kullanmayı tercih etmeyeceğinizi görmek, işe yarayabilecek bir alternatif

WHOIS kullanarak sahipliğini doğrulayın

İstenen alan adını (örneğin stackexchange.com) ve söz konusu alan için WHOIS çıktısında listelenen e-postalardan birini almanız gerekir . (Bunun gizli / özel kayıtlar için işe yaramayacağını unutmayın, ancak kitleniz şirketler ise bu genellikle sorun değildir)

Örneğin:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Hatta whoisaramayı etkileşimli olarak yapabilir ve geçerli e-postaların açılır listesini sağlayabilirsiniz (bu durumda, sadece sysadmin-team@stackoverflow.com). Ardından, seçilen e-postaya bir doğrulama kodu / bağlantısı gönderirsiniz.

Kullanıcılarınızdan, sitenizdeki kullanıcı hesaplarına (kullanıcı adlarını, kimliklerini veya kullanıcıdan alan adlarını doğrulamasını isterken oluşturulan rastgele bir jetonu) başvurarak alan adlarına bir TXT kaydı eklemelerini isteyin.

adn_verification=<my user name>Alanımı doğrulanmış olarak görüntülemek için sosyal ağda çağrılan bir kayıt eklediğimi hatırlıyorum ve bunun oldukça düzgün olduğunu ve alan adının bir web sunucusunu işaret etmesini gerektirmediğini düşündüm.

Sayfada bulunan önerilere eklemek için: Kullanıcıya, alan adını nasıl doğruladığı konusunda seçenekler sunmanızı öneririm. Sayfadaki diğer önerilerin tümü mükemmel bir şekilde kullanılabilir, ancak bazen alanlarını doğrulamak isteyen birisinin sunucularına ve hatta web sitelerine yalnızca sınırlı erişimi olduğu durumdasınız. Örneğin, kullanıcınız etki alanı köküne etki alanı kayıtları veya dosyalar ekleyemeyebilir.

Örneğin, Troy Hunt, kullanıcıların güvenliği ihlal edilmiş hesaplar veritabanında tüm bir alanı aramasına izin verir, ancak önce doğrulamanız gerekir. Kullanıcıya 4 yöntem seçeneği sunar:

1. E-posta yoluyla;
2. bir meta etiket aracılığıyla;
3. Bir dosya yükleme;
4. bir TXT kaydı.

Bu durumların 4ünde, kullanıcının doğruladığı bir yere belirli bir değer girmesini gerektirir.

Açıklama http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html adresindedir .

Kayıt için ücretsiz web postalarını kullanmaktan kaçınmayı göze alabilir misiniz?

Ne en That Brium vermez: Eğer oturum olamaz bir ile @gmail.com, @live.comvb e-posta - Kendi kullanmak zorunda.

Ve sizi bu şekilde kümelendiriyor.

İşletmeleri hedefliyorsanız, bu iyi bir yol olmalıdır.

Yine de patronun kim olduğunu bilmek probleminiz olabilir (örneğin, o grubun yöneticisi), ancak bu o kadar önemli olmayabilir - patron muhtemelen herhangi bir çalışana sahipliğini kendisine aktarmasını söyleyecek araçlara sahip olmalıdır. patrondan önce kayıtlı.