Saya sedang menulis perangkat lunak yang sebagian besar akan digunakan oleh perusahaan.
Saya kemudian memiliki ide untuk memberi perusahaan cara untuk mendaftarkan domain email mereka sehingga setiap pengguna yang mendaftar dengan email dari domain yang diberikan akan secara otomatis dimasukkan ke dalam grup perusahaan.
Saya tahu Slack melakukan sesuatu seperti ini dan berfungsi, tetapi ada beberapa masalah ... misalnya saya baru saja mendaftarkan "live.it" (versi Italia live.com oleh Microsoft).
Saya tidak bisa berasumsi bahwa jika pengguna telah memvalidasi email dengan domain tertentu maka aman untuk menempatkan setiap pengguna dengan domain_mail yang sama dalam grup yang sama.
Misalnya, jika saya mendaftar dengan [email protected] saya tidak ingin membiarkan pengguna mendaftar "gmail.com" memiliki domain sendiri.
Saya ingin menghindari penggunaan metode seperti "meletakkan file html di root domain" atau "mengatur catatan TXT" jadi saya bertanya-tanya bagaimana yang harus saya lakukan.
sumber
Jawaban:
File di direktori root
Jangan abaikan kemungkinan menempatkan file di direktori root situs web perusahaan. Ini berfungsi dengan baik dan banyak digunakan: Alat Webmaster Google adalah salah satu contoh dari teknik tersebut. Ini membuat pendekatan ini menarik: karena sebagian besar pengguna sudah mengetahuinya, mereka tidak akan hilang. Juga, itu tidak memerlukan pengetahuan teknis, tidak seperti memodifikasi catatan MX (sebagian besar perusahaan kecil bahkan tidak tahu apa itu MX record).
Untuk menghindari mencemari direktori root, Anda harus meminta untuk meletakkan file hanya ketika melakukan pemeriksaan Anda. Setelah Anda menemukan file, pengguna mungkin dapat menghapusnya.
Perhatikan bahwa pengguna yang tidak memiliki situs web perusahaan tidak akan dapat mengakses layanan Anda, tetapi saya rasa tidak ada banyak pelanggan dalam hal ini.
Perhatikan bahwa:
Anda harus memeriksa http://example.com/file dan http://www.example.com/file , karena beberapa situs web dikonfigurasi dengan cara yang tidak mendukung formulir http://example.com/ .
Anda dapat mendukung HTTPS juga, mengingat saya tidak berpikir ada banyak perusahaan tanpa pengalihan dari HTTP ke HTTPS.
Anda tidak boleh menerima domain tingkat ketiga lainnya seperti http://mysite.example.com/ , karena ini akan memungkinkan seseorang yang membeli domain tingkat ketiga untuk mengklaim bahwa ia adalah pemilik domain tingkat kedua example.com .
Mengirim email
Mengirim e-mail dengan tautan rahasia agak bermasalah. Anda tidak dapat melakukannya ke [email protected], karena orang yang diberikan mungkin tidak memiliki alamat email perusahaan (ini sering terjadi pada startup, di mana orang lebih suka menggunakan alamat pribadi mereka).
Menggunakan e-mail seperti [email protected] tidak akan berfungsi dalam beberapa kasus.
Pertama, selalu ada perusahaan yang tidak memiliki [email protected], [email protected] dll., Tetapi memiliki alamat e-mail "sistem" khusus yang belum masuk daftar putih. Pertimbangkan secara khusus perusahaan asing; misalnya, di Prancis, tidak biasa menggunakan "Administrat eu r" daripada "Administrator", termasuk untuk alamat email dan nama akun.
Kedua, banyak perusahaan kecil yang tidak mengakses dan tidak tahu cara mengakses email sistem mereka. Mereka membayar bahkan tidak tahu mereka memiliki [email protected] dengan ratusan email mendesak menunggu balasan mereka.
Untuk alasan yang sama, Anda tidak dapat mendasarkan diri pada catatan WHOIS untuk alamat email.
sumber
info@
(atau alamat lokal apa pun) akan ditentukan di atasnya, atau bahwa domain itu akan memiliki alamat tampung semua-yang dipantau.Pertanyaannya berlaku: "Apa artinya memiliki domain email?".
Memiliki situs web ditentukan oleh kemampuan untuk meletakkan file di root . Pengguna biasa mungkin dapat menempatkan file
http://example.com/~user42/validation.txt
tetapi tidak aktifhttp://example.com/validation.txt
.Untuk email, tidak ada hierarki seperti itu. Namun,
postmaster
alamatnya spesial. (Dicadangkan per RFC2142 ) Anda tidak akan dapat membuat[email protected]
. Dengan demikian, kemampuan untuk membuat dan / atau mengaksespostmaster@
adalah bukti yang Anda butuhkan untuk kepemilikan domain email.sumber
Melihat dalam komentar Anda bahwa Anda mungkin tidak memilih untuk menggunakan metode file-in-root-of-situs web, alternatif yang mungkin berhasil adalah dengan
Verifikasi kepemilikan menggunakan WHOIS
Anda perlu mendapatkan domain yang diminta (misalnya
stackexchange.com
), dan salah satu email yang tercantum dalam output WHOIS untuk domain itu . (Perhatikan bahwa ini tidak akan berfungsi untuk pendaftaran rahasia / pribadi, tetapi jika audiens Anda adalah perusahaan, biasanya ini bukan masalah)Sebagai contoh:
Anda bahkan dapat melakukan
whois
pencarian secara interaktif dan memberikan daftar dropdown dari email yang valid (dalam hal ini, adil[email protected]
). Anda kemudian akan mengirim kode verifikasi / tautan ke email yang dipilih.sumber
Minta pengguna Anda untuk menambahkan data TXT ke domain mereka dengan referensi ke akun pengguna mereka di situs Anda (nama pengguna, ID, atau token sewenang-wenang yang dihasilkan saat meminta pengguna untuk memverifikasi domain mereka).
Saya ingat menambahkan catatan yang dipanggil
adn_verification=<my user name>
di jejaring sosial untuk menampilkan domain saya sebagai diverifikasi, dan saya pikir itu cukup rapi dan tidak mengharuskan Anda mengarahkan domain ke server web.sumber
Untuk menambahkan saran yang sudah ada di halaman: Saya sarankan untuk memberikan opsi kepada pengguna tentang bagaimana dia memvalidasi domainnya. Saran lain pada halaman semuanya dapat digunakan dengan sempurna, tetapi kadang-kadang Anda berada dalam situasi di mana seseorang yang ingin memverifikasi domain mereka hanya memiliki akses terbatas ke server mereka atau bahkan situs web mereka. Misalnya, pengguna Anda mungkin tidak dapat menambahkan catatan domain atau file di root domain.
Misalnya, Troy Hunt memungkinkan pengguna untuk mencari seluruh domain dalam database akun yang disusupi, tetapi Anda harus memverifikasi terlebih dahulu. Ia memberi pengguna pilihan 4 metode:
Dalam semua 4 kasus ini, ia mengharuskan pengguna untuk memasukkan nilai tertentu di suatu tempat yang ia verifikasi.
Penjelasannya ada di http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html .
sumber
Bisakah Anda menghindari penggunaan webmail gratis untuk pendaftaran?
Yang ini apa Brium tidak: Anda tidak dapat masuk dengan
@gmail.com
,@live.com
, dll e-mail - Anda harus menggunakan Anda sendiri.Dan ini mengelompokkan Anda dengan ini.
Jika Anda menargetkan bisnis, itu harus menjadi cara yang baik untuk pergi.
Anda mungkin masih memiliki masalah untuk mengetahui siapa bosnya (katakanlah, admin grup itu), tetapi mungkin tidak terlalu penting - bos mungkin harus memiliki alat untuk memberi tahu karyawan mana pun untuk mentransfer kepemilikan kepadanya, asalkan seseorang terdaftar sebelum bos.
sumber