Piszę oprogramowanie, z którego będą korzystać głównie firmy.
Potem wpadłem na pomysł, aby dać firmom sposób na zarejestrowanie swojej domeny e-mail, aby każdy użytkownik, który zarejestruje się przy użyciu adresu e-mail danej domeny, był automatycznie umieszczany w grupie firm.
Wiem, że Slack robi coś takiego i działa, ale są pewne problemy ... na przykład właśnie zarejestrowałem „live.it” (włoska wersja live.com firmy Microsoft).
Nie mogę po prostu założyć, że jeśli użytkownik zweryfikował wiadomość e-mail w określonej domenie, można bezpiecznie umieścić każdego użytkownika z tą samą domeną domena w tej samej grupie.
Na przykład, jeśli zarejestruję się pod adresem [email protected], nie chcę, aby użytkownik rejestrował „gmail.com” ma własną domenę.
Chciałbym unikać stosowania metod takich jak „włóż plik HTML do katalogu głównego domeny” lub „ustaw rekord TXT”, więc zastanawiałem się, jak to zrobić.
źródło
Odpowiedzi:
Plik w katalogu głównym
Nie odrzucaj możliwości umieszczenia pliku w katalogu głównym witryny korporacyjnej. Działa dobrze i jest szeroko stosowany: Narzędzia Google dla webmasterów są przykładem takiej techniki. To sprawia, że takie podejście jest atrakcyjne: skoro większość użytkowników już o tym wie, nie zostaną utracone. Ponadto nie wymaga żadnej wiedzy technicznej, w przeciwieństwie do modyfikowania rekordów MX (większość małych firm nawet nie wie, co to jest rekord MX).
Aby uniknąć zanieczyszczenia katalogu głównego, należy poprosić o umieszczenie pliku tylko podczas sprawdzania. Po znalezieniu pliku użytkownik może go usunąć.
Pamiętaj, że użytkownicy, którzy nie mają firmowej witryny, nie będą mogli uzyskać dostępu do Twojej usługi, ale nie sądzę, aby w tym przypadku było wielu klientów.
Uwaga:
Należy sprawdzić zarówno http://example.com/file, jak i http://www.example.com/file , ponieważ niektóre witryny są skonfigurowane w sposób, który nie obsługuje formularza http://example.com/ .
Możesz również wspierać HTTPS, biorąc pod uwagę, że nie sądzę, że istnieje wiele firm bez przekierowania z HTTP na HTTPS.
Nie należy akceptować żadnych innych domen trzeciego poziomu, takich jak http://mojawitryna.przyklad.com/ , ponieważ umożliwi to osobie, która kupiła domeny trzeciego poziomu, twierdzenie, że jest właścicielem domeny drugiego poziomu przyklad.com .
Wysyłanie wiadomości e-mail
Wysłanie wiadomości e-mail z tajnym linkiem jest dość problematyczne. Nie możesz tego zrobić na imię[email protected], ponieważ dana osoba może nie mieć firmowego adresu e-mail (często tak jest w przypadku startupów, w których ludzie wolą używać swojego adresu osobistego).
Korzystanie z wiadomości e-mail, takich jak [email protected], nie działa w niektórych przypadkach.
Po pierwsze, zawsze są firmy, które nie mają [email protected], [email protected] itd., Ale mają swoje konkretne „systemowe” adresy e-mail, które nie zostały umieszczone na białej liście. Rozważ szczególnie firmy zagraniczne; na przykład we Francji nie jest niczym niezwykłym używanie „Administrat eu r” zamiast „Administrator”, w tym adresów e-mail i nazw kont.
Po drugie, wiele małych firm nie ma dostępu i nie wie, jak uzyskać dostęp do systemowych wiadomości e-mail. Płacą nawet nie wiedząc, że mają naduż[email protected] z setkami pilnych wiadomości e-mail czekających na odpowiedź.
Z tego samego powodu nie możesz opierać się na rekordach WHOIS dotyczących adresu e-mail.
źródło
info@
zostanie zdefiniowany (lub jakikolwiek adres lokalny) lub że będzie miał monitorowany adres typu catch-all.Powstaje pytanie: „Co to znaczy posiadać domenę e-mail?”.
Posiadanie strony internetowej jest definiowane przez możliwość umieszczenia pliku w katalogu głównym . Zwykli użytkownicy mogą być w stanie umieścić plik,
http://example.com/~user42/validation.txt
ale go nie włączyćhttp://example.com/validation.txt
.W przypadku poczty e-mail nie ma takiej hierarchii. Jednak
postmaster
adres jest wyjątkowy. (Zarezerwowane zgodnie z RFC2142 ) Nie będzie można utworzyć[email protected]
. Zatem możliwość tworzenia i / lub uzyskiwania dostępupostmaster@
jest dowodem na posiadanie domeny e-mail.źródło
Widząc w swoich komentarzach, że nie wolisz używać metody file-in-root-of-website, alternatywą, która może działać, jest
Zweryfikuj własność za pomocą WHOIS
Potrzebne będzie żądanie domeny (na przykład
stackexchange.com
) i jeden z e-maili wymienionych w danych wyjściowych WHOIS dla tej domeny . (Pamiętaj, że to nie zadziała w przypadku tajnych / prywatnych rejestracji, ale jeśli twoją publicznością są korporacje, zwykle nie stanowi to problemu)Na przykład:
Możesz nawet przeprowadzić
whois
wyszukiwanie interaktywnie i podać listę rozwijaną prawidłowych wiadomości e-mail (w tym przypadku tylko[email protected]
). Następnie wyślesz kod weryfikacyjny / link do wybranego adresu e-mail.źródło
Poproś użytkowników o dodanie rekordu TXT do swojej domeny wraz z odniesieniem do ich konta użytkownika w Twojej witrynie (nazwa użytkownika, identyfikator lub dowolny token wygenerowany, gdy użytkownik prosi użytkownika o zweryfikowanie swojej domeny).
Pamiętam, że dodałem rekord wywołany
adn_verification=<my user name>
w sieci społecznościowej, aby wyświetlić moją domenę jako zweryfikowaną, i pomyślałem, że to całkiem fajne i nie wymaga, aby domena wskazywała na serwer sieciowy.źródło
Aby dodać do sugestii już na stronie: Polecam dać użytkownikom opcje, w jaki sposób sprawdza swoją domenę. Wszystkie pozostałe sugestie na stronie są doskonale użyteczne, ale czasami jesteś w sytuacji, gdy ktoś, kto chce zweryfikować swoją domenę, ma ograniczony dostęp do swojego serwera, a nawet strony internetowej. Na przykład użytkownik może nie być w stanie dodać rekordów domeny lub plików do katalogu głównego domeny.
Na przykład Troy Hunt pozwala użytkownikom wyszukiwać całą domenę w swojej bazie danych zainfekowanych kont, ale najpierw musisz to zweryfikować. Daje użytkownikowi wybór 4 metod:
We wszystkich 4 przypadkach wymaga od użytkownika wprowadzenia określonej wartości w miejscu, w którym weryfikuje.
Wyjaśnienie znajduje się na stronie http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .
źródło
Czy możesz pozwolić sobie na uniknięcie korzystania z bezpłatnych wiadomości e-mail do rejestracji?
To co Brium nie: nie można rejestrować-wz
@gmail.com
,@live.com
itp e-mail - trzeba użyć własnego.I to cię skupia.
Jeśli kierujesz reklamy do firm, powinna to być dobra droga.
Nadal możesz mieć problem ze stwierdzeniem, kto jest szefem (powiedzmy, adminem tej grupy), ale może to nie być tak ważne - szef powinien prawdopodobnie mieć narzędzia do nakazania każdemu pracownikowi przeniesienia własności na niego, pod warunkiem, że ktoś zarejestrowany przed szefem.
źródło