Comment valider un domaine donné appartient à l'utilisateur?

J'écris un logiciel qui sera principalement utilisé par les entreprises.

J'ai alors eu l'idée de donner aux entreprises un moyen d'enregistrer leur domaine de messagerie afin que chaque utilisateur qui s'inscrit avec un e-mail du domaine donné soit automatiquement placé dans le groupe de sociétés.

Je sais que Slack fait quelque chose comme ça et cela fonctionne, mais il y a quelques problèmes ... par exemple, je viens d'enregistrer "live.it" (la version italienne de live.com par Microsoft).

Je ne peux pas simplement supposer que si un utilisateur a validé un e-mail avec un domaine spécifique, il est sûr de mettre chaque utilisateur avec le même domaine_mail dans le même groupe.

Par exemple, si je m'inscris avec me@gmail.com, je ne veux pas laisser l'utilisateur s'inscrire "gmail.com" a son propre domaine.

Je voudrais éviter d'utiliser des méthodes comme "mettre un fichier html à la racine du domaine" ou "définir un enregistrement TXT", donc je me demandais comment faire.

Fichier dans le répertoire racine

Ne négligez pas la possibilité de placer un fichier dans un répertoire racine du site Web de l'entreprise. Cela fonctionne bien et est largement utilisé: Google Webmaster Tools est un exemple de cette technique. Cela rend cette approche intéressante: comme la plupart des utilisateurs le savent déjà, ils ne seront pas perdus. En outre, il ne nécessite aucune connaissance technique, contrairement à la modification des enregistrements MX (la plupart des petites entreprises ne savent même pas ce qu'est un enregistrement MX).

Afin d'éviter de polluer le répertoire racine, vous devriez demander de mettre un fichier uniquement lors de vos vérifications. Une fois que vous avez trouvé le fichier, l'utilisateur peut le supprimer.

Notez que les utilisateurs qui n'ont pas de site Web d'entreprise ne pourront pas accéder à votre service, mais je ne pense pas qu'il y ait beaucoup de clients dans ce cas.

Notez que:

• Vous devez vérifier à la fois http://example.com/file et http://www.example.com/file , car certains sites Web sont configurés de manière à ne pas prendre en charge le formulaire http://example.com/ .

• Vous pouvez également prendre en charge HTTPS, étant donné que je ne pense pas qu'il y ait beaucoup d'entreprises sans redirection de HTTP vers HTTPS.

• Vous ne devez accepter aucun autre domaine de troisième niveau tel que http://mysite.example.com/ , car cela permettra à quelqu'un qui a acheté un domaine de troisième niveau de prétendre qu'il est le propriétaire du domaine de deuxième niveau example.com .

Envoi d'un e-mail

L'envoi d'un e-mail avec lien secret est plutôt problématique. Vous ne pouvez pas le faire à firstname.lastname@example.com, car une personne donnée peut ne pas avoir d'adresse e-mail d'entreprise (c'est souvent le cas des startups, où les gens préfèrent utiliser leur adresse personnelle).

L'utilisation d'e-mails tels que admin@example.com ne fonctionnera pas dans certains cas.

• Tout d'abord, il y a toujours des entreprises qui n'ont pas postmaster@example.com, admin@example.com etc., mais qui ont leurs adresses e-mail "système" particulières que vous n'avez pas ajoutées à la liste blanche. Considérez spécifiquement les entreprises étrangères; par exemple, en France, il n'est pas rare d'utiliser "Administrat eu r" au lieu de "Administrateur", y compris pour les adresses e-mail et les noms de compte.

• Deuxièmement, de nombreuses petites entreprises n'accèdent pas et ne savent pas comment accéder aux e-mails de leur système. Ils ne savent même pas qu'ils ont abuse@example.com avec des centaines d'e-mails urgents en attente de leur réponse.

  Pour la même raison, vous ne pouvez pas vous baser sur les enregistrements WHOIS pour l'adresse e-mail.

La question est en effet: "Que signifie posséder un domaine de messagerie?".

Posséder un site Web est défini par la possibilité de mettre un fichier à la racine . Les utilisateurs ordinaires peuvent mettre un fichier http://example.com/~user42/validation.txtmais pas dessus http://example.com/validation.txt.

Pour le courrier électronique, il n'y a pas une telle hiérarchie. Cependant, l' postmasteradresse est spéciale. (Réservé par RFC2142 ) Vous ne pourrez pas créer postmaster@gmail.com. Ainsi, la possibilité de créer et / ou d'accéder postmaster@est la preuve dont vous avez besoin pour la propriété d'un domaine de messagerie.

Voyant dans vos commentaires que vous pourriez ne pas préférer utiliser la méthode du fichier à la racine du site Web, une alternative qui pourrait fonctionner est de

Vérifier la propriété à l'aide de WHOIS

Vous devez obtenir le domaine demandé (par exemple stackexchange.com) et l'un des e-mails répertoriés dans la sortie WHOIS de ce domaine . (Notez que cela ne fonctionnera pas pour les inscriptions secrètes / privées, mais si votre public est des sociétés, ce n'est généralement pas un problème)

Par exemple:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Vous pouvez même effectuer la whoisrecherche de manière interactive et fournir une liste déroulante des e-mails valides (dans ce cas, juste sysadmin-team@stackoverflow.com). Vous enverriez alors un code / lien de vérification à l'e-mail choisi.

Demandez à vos utilisateurs d'ajouter un enregistrement TXT à leur domaine avec une référence à leur compte d'utilisateur sur votre site (leur nom d'utilisateur, leur ID ou un jeton arbitraire généré lorsqu'ils demandent à l'utilisateur de vérifier leur domaine).

Je me souviens avoir ajouté un enregistrement appelé adn_verification=<my user name>sur un réseau social pour afficher mon domaine comme vérifié, et je pensais que c'était assez soigné et ne nécessitait pas que le domaine pointe vers un serveur Web.

Pour ajouter aux suggestions déjà sur la page: je recommande de donner à l'utilisateur des options sur la façon dont il valide son domaine. Les autres suggestions sur la page sont toutes parfaitement utilisables, mais parfois vous êtes dans la situation où quelqu'un qui veut vérifier son domaine n'a qu'un accès limité à son serveur ou même à son site Web. Par exemple, votre utilisateur peut ne pas être en mesure d'ajouter des enregistrements ou des fichiers de domaine à la racine du domaine.

Par exemple, Troy Hunt permet aux utilisateurs de rechercher un domaine entier dans sa base de données de comptes compromis, mais vous devez d'abord vérifier. Il donne à l'utilisateur le choix de 4 méthodes:

1. Par email;
2. grâce à une balise META;
3. Un téléchargement de fichier;
4. un enregistrement TXT.

Dans les 4 de ces cas, il demande à l'utilisateur d'entrer une valeur spécifique quelque part contre laquelle il vérifie.

L'explication se trouve à http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .

Pourriez-vous vous permettre d'éviter l'utilisation de webmails gratuits pour l'inscription?

C'est ce que Brium ne: vous ne pouvez vous inscrire avec un @gmail.com, @live.com, etc e-mail - vous devez utiliser votre propre.

Et cela vous regroupe par cela.

Si vous ciblez des entreprises, cela devrait être une bonne façon de procéder.

Vous pourriez toujours avoir le problème de savoir qui est le patron (par exemple, l'administrateur de ce groupe), mais ce n'est peut-être pas si important - le patron devrait probablement avoir les outils pour dire à n'importe quel employé de lui transférer la propriété, à condition que quelqu'un enregistré auprès du patron.