特定のドメインがユーザーによって所有されていることを検証する方法は?


10

主に企業で使用されるソフトウェアを書いています。

次に、特定のドメインのメールに登録するすべてのユーザーが自動的に会社グループに入れられるように、メールドメインを登録する方法を企業に提供するというアイデアがありました。

私はSlackがこのようなことをして機能することを知っていますが、いくつかの問題があります...たとえば、「live.it」(Microsoftによるlive.comイタリア語版)を登録したばかりです。

ユーザーが特定のドメインでメールを検証した場合、同じdomain_mailを持つすべてのユーザーを同じグループに入れても安全だとは思いません。

たとえば、me @ gmail.comで登録した場合、ユーザーが「gmail.com」に独自のドメインを登録できるようにしたくありません。

「ドメインのルートにhtmlファイルを置く」、「TXTレコードを設定する」などの方法の使用を避けたいので、どうすればよいか迷っていました。


11
ドメインのルートにファイルを配置するように依頼することが問題になるのはなぜですか?Googleウェブマスターツールはまさにそれを行います。さらに、永続的なファイルを要求する必要はありません。ユーザーがサーバーにファイルを置いて、チェックを行うと、ファイルを削除できます。
Arseni Mourzenko 2014

9
外部からのユーザーがメインのWebサイトにアクセスできないほど設定が間違っている場合は、サイトをGoogleウェブマスターツールに追加してGoogleを責めるのではなく、設定を気にしてシステム管理者を責める必要があります。
Arseni Mourzenko 2014

1
彼らが機能し、以前に何度も使用した方法を彼らに与える代わりに?
Arseni Mourzenko 2014

6
@FezVrasta:許可されたユーザーへのアクセスを許可することと、許可されていないユーザーへのアクセスを拒否することの2つの目標があることに注意してください。許可されたユーザーが簡単にできるようにすることで、一般に許可されていないユーザーも簡単になります。
MSalters 2014

4
DNSレコードルートを使用する場合は、MXではなくTXTレコードを使用する必要があります。
アーロンデュフォー2014

回答:


20

ルートディレクトリ内のファイル

企業のWebサイトのルートディレクトリにファイルを置く可能性を捨てないでください。これは適切に機能し、広く使用されています。GoogleWebmaster Toolsはそのようなテクニックの一例です。これはこのアプローチを魅力的なものにします。ほとんどのユーザーはすでにそれを知っているので、失われることはありません。また、MXレコードの変更とは異なり、技術的な知識は必要ありません(ほとんどの中小企業はMXレコードが何であるかさえ知りません)。

ルートディレクトリの汚染を避けるために、チェックを行うときにのみファイルを置くように依頼する必要があります。ファイルを見つけたら、ユーザーはそれを削除できる可能性があります。

企業のウェブサイトを持たないユーザーはサービスにアクセスできませんが、この場合は多くの顧客はいないと思います。

ご了承ください:

  • 一部のWebサイトはhttp://example.com/フォームをサポートしないように構成されているため、http ://example.com/filehttp://www.example.com/fileの両方を確認する必要があります。

  • HTTPからHTTPSへのリダイレクトを行わない会社は多くないと思いますので、HTTPSもサポートできます。

  • http://mysite.example.com/などの他のサードレベルドメインを受け入れないでください。これにより、サードレベルドメインを購入したユーザーが、自分がセカンドレベルドメインの所有者であると主張することが可能になります。example.com

メールを送る

シークレットリンクを含む電子メールを送信することは、かなり問題があります。特定の人が企業の電子メールアドレスを持っていない可能性があるため、これをfirstname.lastname@example.comに行うことはできません(これは多くの場合、個人のアドレスを使用することを好むスタートアップの場合です)。

admin@example.comなどの電子メールを使用しても機能しない場合があります。

  • まず、postmaster @ example.com、admin @ example.comなどを持たず、ホワイトリストに登録していない特定の「システム」メールアドレスを持っている企業が常にあります。特に外国企業を検討してください。たとえば、フランスでは、電子メールアドレスやアカウント名など、「Administrator」の代わりに「Administrat eu r」を使用することは珍しくありません。

  • 第二に、多くの小企業はシステムの電子メールにアクセスせず、システムの電子メールにアクセスする方法を知りません。彼らはabuse@example.comに返信を待っている何百もの緊急メールが届いていることさえ知らない。

    同じ理由で、電子メールアドレスのWHOISレコードに基づくことはできません。


「info @」、「administrator @」、「postmaster @」などのユーザーに検証メールを送信するのはどうですか?
Fez Vrasta 2014

@FezVrasta-メールアドレスの偽装は非常に簡単です。
オデッド

「info @に確認リンクをメールで送信します」
Fez Vrasta '25

6
@FezVrasta-ドメインにはメールサーバーが関連付けられていない場合があります。関連付けられている場合、そのドメインにinfo@(またはローカルアドレス)が定義されているか、監視されているキャッチオールアドレスが含まれているとは限りません。
2014

3
「特定のドメインのメールに登録するすべてのユーザーが自動的に会社グループに入れられるように、メールドメインを登録します。」申し訳ありませんが、質問では、メールサーバーを想定できることが明確になっています。この代替手段は、Webサーバーを前提としていますが、これは規定されていません
MSalters 2014

17

「電子メールドメインを所有するとはどういう意味ですか?」という質問が出ています。

Webサイトを所有することは、ファイルをルートに配置する機能によって定義されます。通常のユーザーは、ファイルを置くことはできてもできhttp://example.com/~user42/validation.txtませんhttp://example.com/validation.txt

メールの場合、そのような階層はありません。ただし、postmasterアドレスは特別です。(RFC2142で予約済み)を作成することはできませんpostmaster@gmail.com。したがって、作成および/またはアクセスする機能postmaster@は、メールドメインの所有権に必要な証明です。


1
その特殊性は仕様の一部ですか、電子メールサーバーの一般的な組み込みコンポーネントですか、それとも単なる規則ですか?
DougM 2014

8
@DougM:RFC 2142により予約済み
MSalters '25

ありがとうございます。追加のオプションとしてpostmaster @を使用することになります。ありがとう
Fez Vrasta '25

5
@MSalters:そのRFCを回答に含める必要があります
Bergi

1
多くの場合、postmaster @ domainは、適切な人や誰にもまったくアクセスしません。技術的にはドメインの所有権を判断する方法になるはずですが、実際には使用できません。
JamesRyan 2014

10

コメントで、webサイトのルートにあるファイルを使用する方法を好まない可能性があることを確認します。

WHOISを使用して所有権を確認する

要求されているドメイン(などstackexchange.com)と、そのドメインのWHOIS出力にリストされている電子メールの1つを取得する必要があります。(これはシークレット/プライベート登録では機能しないことに注意してください。ただし、オーディエンスが企業である場合、通常これは問題ではありません)

例えば:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

whois対話的にルックアップを実行し、有効な電子メールのドロップダウンリストを提供することもできます(この場合はsysadmin-team@stackoverflow.com)。次に、選択したメールに確認コード/リンクを送信します。


これは、特定のSSL証明書を検証するときに行われます。それはおそらく自動アプローチではありません。しかし、これは良い副次的オプションになります。
GrandmasterB 2014

@GrandmasterB自動化できなかった理由はわかりません。whois検索、メールのgrep、ユーザーに選択させ、検証コードをメールで送信します。
デジタルクリス

私はこの方法で私の最大の顧客の2人でテストしましたが、whoisに有効なメールがありません(1つはメールがなく、もう1つはドメイン登録者の技術サポートのメールがあります...
Fez Vrasta

1
ちなみに、これは代替として追加することができます。
Fez Vrasta 2014

6

サイトのユーザーアカウントへの参照(ユーザー名、ID、またはユーザーにドメインの確認を求めるときに生成される任意のトークン)を使用して、TXTレコードをドメインに追加するようユーザーに依頼します。

adn_verification=<my user name>私のドメインを確認済みとして表示するためにソーシャルネットワークで呼び出されたレコードを追加したことを覚えています。私はそれはかなりきちんとしているので、ドメインがWebサーバーをポイントしている必要はありません。


ユーザーの大部分はTXTレコードが何であるかを知らず、知っている人は必ずしもそれを設定するのに十分な知識があるとは限りません。
Arseni Mourzenko 2014

1
@MainMaそれはまだ実装するのに良い機能です。

1
+1。ドメインを持っているからといって、その上でWebサーバーを実行しているという意味ではありません(この特定の例では、企業はおそらく常にWebサイトを持っています:))。
マット

あなたはオフィス365用のカスタムドメインたい場合FWIWは、これは、Microsoftが使用するアプローチである
ケーシー

2

既にページにある提案に追加するには:ユーザーがドメインを検証する方法のオプションをユーザーに提供することをお勧めします。ページの他の提案はすべて完全に使用できますが、ドメインを確認したい人がサーバーまたはWebサイトへのアクセスを制限されている場合があります。たとえば、ユーザーがドメインルートにドメインレコードまたはファイルを追加できない場合があります。

たとえば、Troy Huntを使用すると、侵害されたアカウントのデータベースでドメイン全体を検索できますが、最初に確認する必要があります。ユーザーに4つの方法の選択肢を提供します。

  1. メールで;
  2. メタタグを介して;
  3. ファイルのアップロード。
  4. TXTレコード。

これらの4つのケースすべてにおいて、ユーザーは、ユーザーが検証する場所に特定の値を入力することを要求します。

説明はhttp://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.htmlにあります


ありがとうございますが、電子メール検証はどのように機能しますか?「gmail.com」または「hotmail.com」ドメインを検証できないようにするにはどうすればよいですか?(より良い、いくつかの未知の無料ウェブメールサービス)。
Fez Vrasta 2014

何をするにせよ、「これらのアドレスは決して検証することはできない」と明言しない限り、ウェブメールプロバイダーが独自のドメインを登録する可能性は常にあり、実際にできることは多くありません。できる唯一のことは、一部のドメインが完全に検証されないようにすることです。mailprovider.comの検証を防止する必要はありません。joe.shmuck@ mailprovider.comが彼の名前でmailprovider.comドメイン全体を検証することを防止する必要があるだけです。
Nzall 2014

わかりましたが、メールが会社の一部なのか、無料のウェブメールサービスの一部なのかを知る方法はありません。
Fez Vrasta 2014

1
そのためのホワイトリストを維持する必要があると思います。別のオプションは、すべてのドメインが人間によって承認されなければならないということです。これは新規申請者にとって厄介なことになることは知っていますが、承認は一度だけで十分です。その後、そのドメインが承認され、無料のウェブメールサービスではないことがわかります。
Nzall 2014

0

登録のための無料のウェブメールの使用を回避する余裕がありますか?

のは、何Briumん:あなたは、サインインすることができないと@gmail.com@live.comなどの電子メール-あなた自身を使用する必要があります。

そして、これによってクラスター化されます。

あなたがビジネスをターゲットにしているなら、それは行くのに良い方法であるべきです。

あなたはまだ上司が誰であるか(たとえば、そのグループの管理者)を知る問題を抱えている可能性がありますが、それほど重要ではない可能性があります-上司はおそらく、誰かに所有権を彼に譲渡するように指示するためのツールを持っている必要がありますボスの前に登録。


3
ドメインが無料のウェブメールであることをどのように確認しますか?それらは少なくとも数百あります。
2014

私は同じことを書いていました:)
Fez Vrasta '25

それらの多くを一覧表示するそれほどアクティブではないプロジェクトは次のとおりです:github.com/tarr11/Webmail-Domains。それらのいずれかがスリップすることは重要ですか?大多数のユーザー(Gmail、Live、Yahooなど)をカバーするだけでは不十分ですか?私はあなたのソフトウェアが何をしているのかわかりませんが、誰かがこの制限を回避しようとすることは役に立ちますか?彼がグループで一人でいる場合、または同僚がいない場合、このソフトウェアは役に立ちますか?
mgarciaisaia 2014

それは私のソフトウェアにアップロードされた情報への基本的なアクセスを許可するので、間違ったグループに不要なユーザーがいると問題が発生する可能性があります。彼はない独自のドメインを登録した場合、データの所有者の問題になりますので、ところでそれが解決策になる可能性が...私は思う
フェズVrasta
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.