¿Cómo validar que un dominio determinado es propiedad del usuario?

Estoy escribiendo un software que será utilizado principalmente por las empresas.

Entonces tuve la idea de darles a las compañías una forma de registrar su dominio de correo electrónico para que cada usuario que se registra con un correo electrónico del dominio dado se coloque automáticamente en el grupo de la compañía.

Sé que Slack hace algo así y funciona, pero hay algunos problemas ... por ejemplo, acabo de registrar "live.it" (la versión italiana live.com de Microsoft).

No puedo asumir que si un usuario ha validado un correo electrónico con un dominio específico, entonces es seguro poner a todos los usuarios con el mismo dominio_mail en el mismo grupo.

Por ejemplo, si me registro en me@gmail.com no quiero permitir que el usuario se registre "gmail.com" tiene su propio dominio.

Me gustaría evitar el uso de métodos como "poner un archivo html en la raíz del dominio" o "establecer un registro TXT", así que me preguntaba cómo debería hacerlo.

Archivo en el directorio raíz

No descarte la posibilidad de colocar un archivo en un directorio raíz del sitio web corporativo. Funciona bien y se usa ampliamente: Google Webmaster Tools es un ejemplo de dicha técnica. Esto hace que este enfoque sea atractivo: dado que la mayoría de los usuarios ya lo saben, no se perderán. Además, no requiere ningún conocimiento técnico, a diferencia de la modificación de registros MX (la mayoría de las pequeñas empresas ni siquiera sabrán qué es un registro MX).

Para evitar contaminar el directorio raíz, debe solicitar poner un archivo solo cuando realice sus comprobaciones. Una vez que haya encontrado el archivo, el usuario podrá eliminarlo.

Tenga en cuenta que los usuarios que no tienen ningún sitio web corporativo no podrán acceder a su servicio, pero no creo que haya muchos clientes en este caso.

Tenga en cuenta que:

• Debe verificar tanto http://example.com/file como http://www.example.com/file , porque algunos sitios web están configurados de una manera que no admiten http://example.com/ forma.

• También puede admitir HTTPS, dado que no creo que haya muchas empresas sin redireccionamiento de HTTP a HTTPS.

• No debe aceptar ningún otro dominio de tercer nivel como http://mysite.example.com/ , ya que esto hará posible que alguien que compró un dominio de tercer nivel afirme que es el propietario del dominio de segundo nivel. ejemplo.com .

Enviando un correo electrónico

Enviar un correo electrónico con un enlace secreto es bastante problemático. No puede hacerlo a firstname.lastname@example.com, porque una persona determinada puede no tener una dirección de correo electrónico corporativa (este suele ser el caso de las startups, donde las personas prefieren usar su dirección personal).

El uso de correos electrónicos como admin@example.com no funcionará en algunos casos.

• Primero, siempre hay empresas que no tienen postmaster@example.com, admin@example.com, etc., pero que tienen sus direcciones de correo electrónico particulares del "sistema" que no ha incluido en la lista blanca. Considere específicamente compañías extranjeras; por ejemplo, en Francia, no es inusual usar "Administrat eu r" en lugar de "Administrator", incluso para direcciones de correo electrónico y nombres de cuenta.

• En segundo lugar, muchas pequeñas empresas no acceden y no saben cómo acceder a sus correos electrónicos del sistema. Pagan sin saber siquiera que tienen abuse@ejemplo.com con cientos de correos electrónicos urgentes esperando su respuesta.

  Por la misma razón, no puede basarse en los registros de WHOIS para la dirección de correo electrónico.

La pregunta está vigente: "¿Qué significa ser dueño de un dominio de correo electrónico?".

Ser propietario de un sitio web se define por la capacidad de colocar un archivo en la raíz . Los usuarios comunes pueden poner un archivo http://example.com/~user42/validation.txtpero no hacerlo http://example.com/validation.txt.

Para el correo electrónico, no existe tal jerarquía. Sin embargo, la postmasterdirección es especial. (Reservado por RFC2142 ) No podrá crear postmaster@gmail.com. Por lo tanto, la capacidad de crear y / o acceder postmaster@es la prueba que necesita para la propiedad del dominio de correo electrónico.

Al ver en sus comentarios que es posible que no prefiera utilizar el método de archivo en la raíz del sitio web, una alternativa que podría funcionar es

Verifique la propiedad usando WHOIS

Debería obtener el dominio que se solicita (por ejemplo stackexchange.com) y uno de los correos electrónicos que figuran en la salida de WHOIS para ese dominio . (Tenga en cuenta que esto no funcionará para registros secretos / privados, pero si su audiencia son corporaciones, esto generalmente no es un problema)

Por ejemplo:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

Incluso podría hacer la whoisbúsqueda de forma interactiva y proporcionar una lista desplegable de los correos electrónicos válidos (en este caso, solo sysadmin-team@stackoverflow.com). Luego enviaría un código / enlace de verificación al correo electrónico elegido.

Solicite a sus usuarios que agreguen un registro TXT a su dominio con una referencia a su cuenta de usuario en su sitio (su nombre de usuario, ID o un token arbitrario generado al solicitarle al usuario que verifique su dominio).

Recuerdo que agregué un registro llamado adn_verification=<my user name>en una red social para mostrar mi dominio como verificado, y pensé que es bastante bueno y no requiere que el dominio apunte a un servidor web.

Para agregar a las sugerencias que ya están en la página: recomiendo dar al usuario opciones sobre cómo valida su dominio. Las otras sugerencias en la página son perfectamente utilizables, pero a veces se encuentra en una situación en la que alguien que quiere verificar su dominio solo tiene acceso limitado a su servidor o incluso a su sitio web. Por ejemplo, es posible que su usuario no pueda agregar registros o archivos de dominio en la raíz del dominio.

Por ejemplo, Troy Hunt permite a los usuarios buscar un dominio completo en su base de datos de cuentas comprometidas, pero primero debe verificarlo. Le da al usuario la opción de 4 métodos:

1. Vía correo electrónico;
2. a través de una metaetiqueta;
3. Una carga de archivo;
4. un registro TXT

En los 4 casos, requiere que el usuario ingrese un valor específico en algún lugar contra el cual verifique.

La explicación está en http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .

¿Podría permitirse evitar el uso de correos web gratuitos para el registro?

Eso es lo que Brium no: no se puede iniciar sesión con una @gmail.com, @live.cometc correo electrónico - que tienen que utilizar su propio.

Y te agrupa por esto.

Si se dirige a empresas, esa debería ser una buena manera de hacerlo.

Todavía podría tener el problema de saber quién es el jefe (por ejemplo, el administrador de ese grupo), pero puede que no sea tan importante: el jefe probablemente debería tener las herramientas para decirle a cualquier empleado que le transfiera la propiedad a él, siempre que alguien registrado ante el jefe.