特定のドメインがユーザーによって所有されていることを検証する方法は？

主に企業で使用されるソフトウェアを書いています。

次に、特定のドメインのメールに登録するすべてのユーザーが自動的に会社グループに入れられるように、メールドメインを登録する方法を企業に提供するというアイデアがありました。

私はSlackがこのようなことをして機能することを知っていますが、いくつかの問題があります...たとえば、「live.it」（Microsoftによるlive.comイタリア語版）を登録したばかりです。

ユーザーが特定のドメインでメールを検証した場合、同じdomain_mailを持つすべてのユーザーを同じグループに入れても安全だとは思いません。

たとえば、me @ gmail.comで登録した場合、ユーザーが「gmail.com」に独自のドメインを登録できるようにしたくありません。

「ドメインのルートにhtmlファイルを置く」、「TXTレコードを設定する」などの方法の使用を避けたいので、どうすればよいか迷っていました。

ルートディレクトリ内のファイル

企業のWebサイトのルートディレクトリにファイルを置く可能性を捨てないでください。これは適切に機能し、広く使用されています。GoogleWebmaster Toolsはそのようなテクニックの一例です。これはこのアプローチを魅力的なものにします。ほとんどのユーザーはすでにそれを知っているので、失われることはありません。また、MXレコードの変更とは異なり、技術的な知識は必要ありません（ほとんどの中小企業はMXレコードが何であるかさえ知りません）。

ルートディレクトリの汚染を避けるために、チェックを行うときにのみファイルを置くように依頼する必要があります。ファイルを見つけたら、ユーザーはそれを削除できる可能性があります。

企業のウェブサイトを持たないユーザーはサービスにアクセスできませんが、この場合は多くの顧客はいないと思います。

ご了承ください：

• 一部のWebサイトはhttp://example.com/フォームをサポートしないように構成されているため、http ://example.com/fileとhttp://www.example.com/fileの両方を確認する必要があります。

• HTTPからHTTPSへのリダイレクトを行わない会社は多くないと思いますので、HTTPSもサポートできます。

• http://mysite.example.com/などの他のサードレベルドメインを受け入れないでください。これにより、サードレベルドメインを購入したユーザーが、自分がセカンドレベルドメインの所有者であると主張することが可能になります。example.com。

メールを送る

シークレットリンクを含む電子メールを送信することは、かなり問題があります。特定の人が企業の電子メールアドレスを持っていない可能性があるため、これをfirstname.lastname@example.comに行うことはできません（これは多くの場合、個人のアドレスを使用することを好むスタートアップの場合です）。

admin@example.comなどの電子メールを使用しても機能しない場合があります。

• まず、postmaster @ example.com、admin @ example.comなどを持たず、ホワイトリストに登録していない特定の「システム」メールアドレスを持っている企業が常にあります。特に外国企業を検討してください。たとえば、フランスでは、電子メールアドレスやアカウント名など、「Administrator」の代わりに「Administrat eu r」を使用することは珍しくありません。

• 第二に、多くの小企業はシステムの電子メールにアクセスせず、システムの電子メールにアクセスする方法を知りません。彼らはabuse@example.comに返信を待っている何百もの緊急メールが届いていることさえ知らない。

  同じ理由で、電子メールアドレスのWHOISレコードに基づくことはできません。

「電子メールドメインを所有するとはどういう意味ですか？」という質問が出ています。

Webサイトを所有することは、ファイルをルートに配置する機能によって定義されます。通常のユーザーは、ファイルを置くことはできてもできhttp://example.com/~user42/validation.txtませんhttp://example.com/validation.txt。

メールの場合、そのような階層はありません。ただし、postmasterアドレスは特別です。（RFC2142で予約済み）を作成することはできませんpostmaster@gmail.com。したがって、作成および/またはアクセスする機能postmaster@は、メールドメインの所有権に必要な証明です。

コメントで、webサイトのルートにあるファイルを使用する方法を好まない可能性があることを確認します。

WHOISを使用して所有権を確認する

要求されているドメイン（などstackexchange.com）と、そのドメインのWHOIS出力にリストされている電子メールの1つを取得する必要があります。（これはシークレット/プライベート登録では機能しないことに注意してください。ただし、オーディエンスが企業である場合、通常これは問題ではありません）

例えば：

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

whois対話的にルックアップを実行し、有効な電子メールのドロップダウンリストを提供することもできます（この場合はsysadmin-team@stackoverflow.com）。次に、選択したメールに確認コード/リンクを送信します。

サイトのユーザーアカウントへの参照（ユーザー名、ID、またはユーザーにドメインの確認を求めるときに生成される任意のトークン）を使用して、TXTレコードをドメインに追加するようユーザーに依頼します。

adn_verification=<my user name>私のドメインを確認済みとして表示するためにソーシャルネットワークで呼び出されたレコードを追加したことを覚えています。私はそれはかなりきちんとしているので、ドメインがWebサーバーをポイントしている必要はありません。

既にページにある提案に追加するには：ユーザーがドメインを検証する方法のオプションをユーザーに提供することをお勧めします。ページの他の提案はすべて完全に使用できますが、ドメインを確認したい人がサーバーまたはWebサイトへのアクセスを制限されている場合があります。たとえば、ユーザーがドメインルートにドメインレコードまたはファイルを追加できない場合があります。

たとえば、Troy Huntを使用すると、侵害されたアカウントのデータベースでドメイン全体を検索できますが、最初に確認する必要があります。ユーザーに4つの方法の選択肢を提供します。

1. メールで;
2. メタタグを介して;
3. ファイルのアップロード。
4. TXTレコード。

これらの4つのケースすべてにおいて、ユーザーは、ユーザーが検証する場所に特定の値を入力することを要求します。

説明はhttp://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.htmlにあります。

登録のための無料のウェブメールの使用を回避する余裕がありますか？

のは、何Briumん：あなたは、サインインすることができないと@gmail.com、@live.comなどの電子メール-あなた自身を使用する必要があります。

そして、これによってクラスター化されます。

あなたがビジネスをターゲットにしているなら、それは行くのに良い方法であるべきです。

あなたはまだ上司が誰であるか（たとえば、そのグループの管理者）を知る問題を抱えている可能性がありますが、それほど重要ではない可能性があります-上司はおそらく、誰かに所有権を彼に譲渡するように指示するためのツールを持っている必要がありますボスの前に登録。