उपयोगकर्ता के स्वामित्व में दिए गए डोमेन को कैसे मान्य किया जाए?


10

मैं एक सॉफ्टवेयर लिख रहा हूं, जो ज्यादातर कंपनियों द्वारा उपयोग किया जाएगा।

मुझे तब कंपनियों को अपने ईमेल डोमेन को पंजीकृत करने का एक तरीका देने का विचार था ताकि प्रत्येक उपयोगकर्ता जो दिए गए डोमेन के ईमेल के साथ पंजीकृत हो, स्वचालित रूप से कंपनी समूह में डाल दिया जाएगा।

मुझे पता है कि स्लैक ऐसा कुछ करता है और यह काम करता है, लेकिन कुछ समस्याएं हैं ... उदाहरण के लिए मैंने अभी "live.it" (Microsoft द्वारा live.com इतालवी संस्करण) पंजीकृत किया है।

मैं बस यह नहीं मान सकता कि यदि किसी उपयोगकर्ता ने किसी विशिष्ट डोमेन के साथ एक ईमेल को मान्य किया है तो प्रत्येक उपयोगकर्ता को उसी डोमेन में उसी डोमेन_मेल के साथ रखना सुरक्षित है।

उदाहरण के लिए, अगर मैं me@gmail.com के साथ पंजीकरण करता हूं, तो मैं उपयोगकर्ता को "gmail.com" पंजीकृत नहीं करने देना चाहता हूं।

मैं "डोमेन के रूट में एक html फ़ाइल डाल" या "एक TXT रिकॉर्ड सेट" जैसी विधियों के उपयोग से बचना चाहूंगा, इसलिए मैं सोच रहा था कि मुझे कैसे करना चाहिए।


11
डोमेन के रूट में फ़ाइल डालने के लिए क्यों कहना आपके लिए एक समस्या है? Google वेबमास्टर टूल ठीक यही करता है। इसके अलावा, आपको एक स्थायी फ़ाइल के लिए पूछने की आवश्यकता नहीं है: उपयोगकर्ता इसे सर्वर पर डालता है, आप चेक करते हैं, और फ़ाइल को हटाया जा सकता है।
आर्सेनी मूरज़ेंको

9
यदि आपका सेटअप इतना गलत है कि बाहर के उपयोगकर्ता आपकी मुख्य वेबसाइट तक नहीं पहुंच सकते हैं, तो आपको सेटअप से संबंधित होना चाहिए और अपने साइटमैप को दोष देना चाहिए, बजाय इसके कि आप अपनी साइट को Google वेबमास्टर टूल से जोड़कर चिंतित हों और Google को दोष दें।
बजे आर्सेनी मौरज़ेंको

1
उन्हें एक तरीका देने के बजाय जो काम करता है और जिसे वे पहले भी कई बार इस्तेमाल कर चुके हैं?
बजे आर्सेनी मूरज़ेंको

6
@FezVrasta: ध्यान रखें कि आपके दो लक्ष्य हैं: अधिकृत उपयोगकर्ताओं तक पहुँच की अनुमति देना और अनधिकृत उपयोगकर्ताओं तक पहुँच से वंचित करना। अधिकृत उपयोगकर्ताओं के लिए इसे आसान बनाना आमतौर पर अनधिकृत उपयोगकर्ताओं के लिए भी आसान बनाता है।
एमएसलटर्स

4
यदि आप DNS रिकॉर्ड रूट पर जाते हैं, तो आपको एमएक्स नहीं, बल्कि TXT रिकॉर्ड का उपयोग करना चाहिए।
हारून डफ़र

जवाबों:


20

रूट डायरेक्टरी में फाइल करें

कॉर्पोरेट वेबसाइट की रूट डायरेक्टरी में फाइल डालने की संभावना को न भूलें। यह अच्छी तरह से काम करता है और व्यापक रूप से उपयोग किया जाता है: Google वेबमास्टर टूल ऐसी तकनीक का एक उदाहरण है। यह इस दृष्टिकोण को आकर्षक बनाता है: चूंकि अधिकांश उपयोगकर्ता पहले से ही जानते हैं, वे खो नहीं जाएंगे। इसके अलावा, इसे एमएक्स रिकॉर्ड को संशोधित करने के विपरीत, किसी भी तकनीकी ज्ञान की आवश्यकता नहीं है (अधिकांश छोटी कंपनियों को यह भी पता नहीं होगा कि एमएक्स रिकॉर्ड क्या है)।

रूट डायरेक्टरी को प्रदूषित करने से बचने के लिए, आपको अपने चेक करते समय केवल एक फाइल लगाने के लिए कहना चाहिए। एक बार जब आप फ़ाइल पा लेते हैं, तो उपयोगकर्ता इसे हटाने में सक्षम हो सकता है।

ध्यान दें कि जिन उपयोगकर्ताओं के पास कोई कॉर्पोरेट वेबसाइट नहीं है, वे आपकी सेवा तक नहीं पहुंच पाएंगे, लेकिन मुझे नहीं लगता कि इस मामले में कई ग्राहक हैं।

ध्यान दें कि:

  • आपको http://example.com/file और http://www.example.com/file , दोनों की जांच करनी चाहिए , क्योंकि कुछ वेबसाइट इस तरह से कॉन्फ़िगर की जाती हैं कि वे http://example.com/ फॉर्म का समर्थन नहीं करती हैं ।

  • आप HTTPS का भी समर्थन कर सकते हैं, यह देखते हुए कि मुझे नहीं लगता कि HTTP से HTTPS तक कोई पुनर्निर्देशन वाली बहुत सी कंपनियां हैं।

  • आपको किसी अन्य तृतीय-स्तरीय डोमेन जैसे कि http://mysite.example.com/ को स्वीकार नहीं करना चाहिए , क्योंकि यह किसी ऐसे व्यक्ति के लिए संभव होगा जिसने यह दावा करने के लिए कि वह दूसरे-स्तर के डोमेन का मालिक है, तीसरे-स्तर के डोमेन खरीदे। example.com

ई-मेल भेजना

गुप्त लिंक के साथ ई-मेल भेजना समस्याग्रस्त है। आप इसे firstname.lastname@example.com पर नहीं कर सकते, क्योंकि किसी दिए गए व्यक्ति का कॉर्पोरेट ई-मेल पता नहीं हो सकता है (यह अक्सर स्टार्टअप्स का मामला होता है, जहाँ लोग अपने व्यक्तिगत पते का उपयोग करना पसंद करते हैं)।

ई-मेल का उपयोग करना जैसे कि admin@example.com कुछ मामलों में काम नहीं करेगा।

  • सबसे पहले, हमेशा ऐसी कंपनियां होती हैं जिनके पास पोस्टमास्टर @example.com, admin@example.com आदि नहीं होते हैं, लेकिन उनके विशेष "सिस्टम" ई-मेल पते जिन्हें आपने श्वेत नहीं किया है। विशेष रूप से विदेशी कंपनियों पर विचार करें; उदाहरण के लिए, फ्रांस में, "प्रशासक " के बजाय "प्रशासक यूरो आर" का उपयोग करना असामान्य नहीं है , जिसमें ई-मेल पते और खाता नाम शामिल हैं।

  • दूसरा, कई छोटी कंपनियां पहुंच नहीं पाती हैं और न ही यह जानती हैं कि अपने सिस्टम ई-मेल का उपयोग कैसे करें। वे यह भी नहीं जानते हैं कि उनके पास दुरुपयोग की बात है @example.com सैकड़ों ई-मेल के साथ उनके उत्तर की प्रतीक्षा कर रहे हैं।

    उसी कारण से, आप ई-मेल पते के लिए WHOIS रिकॉर्ड पर खुद को आधार नहीं बना सकते।


"जानकारी @", "व्यवस्थापक @" "पोस्टमास्टर @" जैसे उपयोगकर्ताओं को सत्यापन ईमेल भेजने के बारे में क्या?
फ़ेज़ वर्स्टा

@FezVrasta - ई-मेल पते अविश्वसनीय रूप से आसान हैं।
ऊदबिलाव

मेरा मतलब है "मैं इसके अंदर एक पुष्टिकरण लिंक के साथ info @ के लिए एक ईमेल भेजता हूं"
Fez Vrasta

6
@FezVrasta - एक डोमेन में इससे जुड़ा कोई ईमेल सर्वर नहीं हो सकता है, और यदि ऐसा होता है, तो इस बात की कोई गारंटी नहीं है कि इस पर एक info@(या कोई स्थानीय पता) परिभाषित किया जाएगा, या यह एक मॉनिटर-कैच-ऑल एड्रेस होगा।
ऊदबिलाव

3
"अपने ईमेल डोमेन को पंजीकृत करें ताकि हर उपयोगकर्ता जो दिए गए डोमेन के ईमेल के साथ पंजीकृत हो, स्वचालित रूप से कंपनी समूह में डाल दिया जाएगा।" क्षमा करें, लेकिन यह प्रश्न स्पष्ट करता है कि आप एक ईमेल सर्वर मान सकते हैं। यह विकल्प एक वेब सर्वर को मानता है, जो एक दिया नहीं है।
एमएसलटर्स

17

प्रश्न प्रभाव में है: " ईमेल डोमेन के मालिक होने का क्या मतलब है ?"।

किसी फ़ाइल को रूट में रखने की क्षमता के कारण एक वेबसाइट का मालिक होना परिभाषित किया गया है । साधारण उपयोगकर्ता फ़ाइल को चालू करने में सक्षम हो सकते हैं http://example.com/~user42/validation.txtलेकिन चालू नहीं http://example.com/validation.txt

ईमेल के लिए, ऐसा कोई पदानुक्रम नहीं है। हालाँकि, postmasterपता विशेष है। (प्रति RFC2142 आरक्षित ) आप नहीं बना पाएंगे postmaster@gmail.com। इस प्रकार, बनाने और / या उपयोग करने की क्षमता postmaster@वह प्रमाण है जो आपको ईमेल डोमेन स्वामित्व के लिए चाहिए।


1
क्या यह विशेषता एक कल्पना का हिस्सा है, ईमेल सर्वर का एक सामान्य अंतर्निहित घटक है, या सिर्फ एक सम्मेलन?
डगएम

8
@ डगमग: आरक्षित प्रति आरएफसी 2142
मसलक

धन्यवाद, इसलिए एक अतिरिक्त विकल्प पोस्टमास्टर @ का उपयोग होगा, धन्यवाद
Fez Vrasta

5
@MSalters: आपको अपने जवाब में उस RFC को रखना चाहिए
Bergi

1
कई पोस्टमास्टर के लिए @ डोमेन केवल सही व्यक्ति या किसी के पास नहीं जाता है। हालांकि यह तकनीकी रूप से डोमेन स्वामित्व को निर्धारित करने का एक तरीका हो सकता है जिसे आप व्यावहारिक रूप से उपयोग नहीं कर सकते हैं।
जेम्सरन

10

अपनी टिप्पणियों में देखकर कि आप फाइल-इन-रूट-ऑफ-वेबसाइट विधि का उपयोग करना पसंद नहीं कर सकते हैं, एक विकल्प जो काम कर सकता है वह है

WHOIS का उपयोग करके स्वामित्व सत्यापित करें

आपको डोमेन के लिए अनुरोध किया जा रहा है (उदाहरण के लिए stackexchange.com), और उस डोमेन के लिए WHOIS आउटपुट में सूचीबद्ध ईमेल में से एक । (ध्यान दें कि यह गुप्त / निजी पंजीकरण के लिए काम नहीं करेगा, लेकिन अगर आपके दर्शक निगम हैं तो यह आमतौर पर कोई समस्या नहीं है)

उदाहरण के लिए:

WHOIS information for stackexchange.com:**
...
Domain Name: STACKEXCHANGE.COM 
Registrar WHOIS Server: whois.name.com 
Registrar URL: http://www.name.com 
Updated Date: 2014-05-14T16:49:02-06:00 

Registrant Name: Sysadmin Team 
...
Registrant Email: sysadmin-team@stackoverflow.com 
Admin Name: Sysadmin Team 
Admin Organization: Stack Exchange, Inc. 
...
Admin Email: sysadmin-team@stackoverflow.com 
Tech Name: Sysadmin Team 
...
Tech Email: sysadmin-team@stackoverflow.com 
Name Server: cf-dns02.stackexchange.com 
Name Server: cf-dns01.stackexchange.com 
DNSSEC: NotApplicable 

आप whoisलुकअप को अंतःक्रियात्मक रूप से भी कर सकते हैं और मान्य ईमेल की ड्रॉपडाउन सूची प्रदान कर सकते हैं (इस मामले में, बस sysadmin-team@stackoverflow.com)। फिर आप चुने हुए ईमेल पर एक सत्यापन कोड / लिंक भेजेंगे।


ऐसा तब किया जाता है जब कुछ ssl certs को वेरिफाई किया जाता है। इसकी संभावना एक स्वचालित दृष्टिकोण नहीं है। लेकिन एक अच्छा माध्यमिक विकल्प बना देगा।
ग्रैंडमास्टरबी

@GrandmasterB मैं यह नहीं देख सकता कि यह स्वचालित क्यों नहीं हो सकता: whois लुकअप, ईमेल को grep करें, उपयोगकर्ता को एक चुनें, ईमेल में सत्यापन कोड भेजें।
डिजिटल क्रिस

मैंने अपने दो सबसे बड़े ग्राहकों के साथ इस तरह से परीक्षण किया है और दोनों के पास व्हिडिस में एक वैध ईमेल नहीं है (किसी के पास ईमेल नहीं है, दूसरे के पास डोमेन रजिस्ट्रार के तकनीकी समर्थन का ईमेल है ...
Fez Vrasta

1
वैसे यह एक विकल्प के रूप में जोड़ा जा सकता है।
Fez Vrasta

6

अपने उपयोगकर्ताओं को अपनी साइट पर उनके उपयोगकर्ता खाते (उनके उपयोगकर्ता नाम, आईडी, या उपयोगकर्ता द्वारा अपने डोमेन को सत्यापित करने के लिए पूछे जाने पर उत्पन्न एक मनमाना टोकन) के संदर्भ में एक TXT रिकॉर्ड जोड़ने के लिए कहें।

मुझे याद है कि मैंने adn_verification=<my user name>अपने डोमेन को सत्यापित करने के लिए एक सामाजिक नेटवर्क पर एक रिकॉर्ड जोड़ने के लिए कहा था, और मुझे लगा कि यह बहुत साफ-सुथरा है और इसके लिए आपको डोमेन को वेब सर्वर की ओर संकेत करने की आवश्यकता नहीं है।


उपयोगकर्ताओं के एक बड़े हिस्से को पता नहीं होगा कि TXT रिकॉर्ड क्या है, और जो लोग जानते हैं, वे इसे सेट करने के लिए आवश्यक रूप से जानकार नहीं होंगे।
आर्सेनी मूरज़ेंको

1
@ मेनमा इसे लागू करने के लिए अभी भी एक अच्छी सुविधा है।

1
+1। सिर्फ इसलिए कि आपके पास एक डोमेन है, इसका मतलब यह नहीं है कि आपके पास एक वेब सर्वर चल रहा है (हालांकि इस विशेष उदाहरण में, एक कंपनी के पास शायद हमेशा एक वेबसाइट होगी :))।
मैट

यदि आप Office 365 के लिए कोई कस्टम डोमेन चाहते हैं, तो FWIW, यह वह Microsoft है जिसका उपयोग Microsoft करता है।
Casey

2

पृष्ठ पर पहले से ही सुझावों को जोड़ने के लिए: मैं उपयोगकर्ता विकल्प देने की सलाह देता हूं कि वह अपने डोमेन को कैसे मान्य करता है। पृष्ठ पर अन्य सुझाव पूरी तरह से उपयोग करने योग्य हैं, लेकिन कभी-कभी आप उस स्थिति में होते हैं, जब कोई व्यक्ति जो अपने डोमेन को सत्यापित करना चाहता है, केवल उनके सर्वर या यहां तक ​​कि उनकी वेबसाइट तक सीमित पहुंच होती है। उदाहरण के लिए, हो सकता है कि आपका उपयोगकर्ता डोमेन रूट में डोमेन रिकॉर्ड या फ़ाइलें जोड़ने में सक्षम न हो।

उदाहरण के लिए, ट्रॉय हंट उपयोगकर्ताओं को समझौता किए गए खातों के अपने डेटाबेस में पूरे डोमेन की खोज करने की अनुमति देता है, लेकिन आपको पहले सत्यापित करने की आवश्यकता है। वह उपयोगकर्ता को 4 विधियों का विकल्प देता है:

  1. ईमेल के माध्यम से;
  2. मेटा टैग के माध्यम से;
  3. एक फ़ाइल अपलोड;
  4. एक TXT रिकॉर्ड।

इन सभी मामलों में, उसे उपयोगकर्ता को एक विशिष्ट मूल्य में कहीं प्रवेश करने की आवश्यकता होती है, जिसके खिलाफ वह सत्यापित करता है।

स्पष्टीकरण http://www.troyhunt.com/2014/01/im-pwned-youre-pwned-were-all-pwned.html पर है


धन्यवाद, लेकिन ईमेल सत्यापन कैसे काम करता है? वे मुझे "gmail.com" या "hotmail.com" डोमेन को मान्य करने से कैसे रोक सकते हैं? (या बेहतर, कुछ अनजाने मुफ्त वेबमेल सेवा)।
Fez Vrasta

कोई फर्क नहीं पड़ता कि आप क्या करते हैं, जब तक आप स्पष्ट रूप से यह नहीं कहते हैं कि "ये पते कभी भी मान्य नहीं हो सकते हैं", मौका हमेशा मौजूद होता है कि वेबमेल प्रदाता अपने स्वयं के डोमेन को पंजीकृत करता है, और बहुत कुछ नहीं है जो आप वास्तव में इसके बारे में कर सकते हैं। केवल एक चीज आप कुछ डोमेन को पूरी तरह से वैध होने से रोक सकते हैं। आपको mailprovider.com के सत्यापन को रोकने की आवश्यकता नहीं है, आपको बस उस joe.shmuck@mailprovider.com को उसके नाम पर पूरे mailprovider.com डोमेन को मान्य करने के लिए प्रबंधित करने की आवश्यकता है।
नजल्ल

ठीक है, लेकिन मुझे यह जानने का कोई तरीका नहीं है कि कोई ईमेल किसी कंपनी का हिस्सा है या मुफ्त वेबमेल सेवा का।
Fez Vrasta

1
आपको इसके लिए एक श्वेतसूची रखनी होगी, मुझे डर है। एक अन्य विकल्प यह है कि प्रत्येक डोमेन को एक इंसान द्वारा अनुमोदित किया जाना है। मुझे पता है कि यह नए आवेदकों के लिए और अधिक परेशानी भरा है, लेकिन अनुमोदन केवल एक बार होने की आवश्यकता है। बाद में, आप जानते हैं कि डोमेन स्वीकृत है और मुफ्त वेबमेल सेवा नहीं है।
नजल्ल

0

क्या आप पंजीकरण के लिए मुफ्त वेबमेल के उपयोग से बच सकते हैं?

यही कारण है कि क्या Brium करता है: आप साइन-इन एक साथ नहीं कर सकते हैं @gmail.com,@live.com , आदि ई-मेल - आप अपने खुद के उपयोग करने के लिए है।

और यह आपको इसके द्वारा क्लस्टर करता है।

यदि आप व्यवसायों को लक्षित कर रहे हैं, तो यह एक अच्छा तरीका है।

आपको अभी भी यह जानने की समस्या हो सकती है कि बॉस कौन है (कहते हैं, उस समूह का व्यवस्थापक), लेकिन यह महत्वपूर्ण नहीं हो सकता है - मालिक के पास स्वामित्व को स्थानांतरित करने के लिए किसी भी कर्मचारी को बताने के लिए उपकरण होना चाहिए, बशर्ते कि कोई हो। बॉस के सामने पंजीकृत।


3
आप कैसे जाँचेंगे कि एक डोमेन एक मुफ्त वेबमेल है? उनमें से कम से कम सैकड़ों हैं।
16

मैं एक ही बात लिख रहा था :)
Fez Vrasta

यहाँ एक नॉट -सो-एक्टिव प्रोजेक्ट है जो उनमें से एक गुच्छा को सूचीबद्ध करता है: github.com/tarr11/Webmail-Domains । क्या यह महत्वपूर्ण है कि उनमें से कोई भी फिसल रहा है? क्या यह अधिकांश उपयोगकर्ताओं (जीमेल, लाइव, याहू और इसी तरह) को कवर करने के लिए पर्याप्त नहीं है? मुझे नहीं पता कि आपका सॉफ़्टवेयर क्या करता है, लेकिन - क्या यह किसी के लिए इस सीमा से बचने की कोशिश करना उपयोगी होगा? यदि वह किसी समूह में अकेला है - या उसके सहयोगियों के बिना सॉफ्टवेयर उपयोगी होगा?
मर्गिसिसेया

यह मेरे सॉफ्टवेयर पर अपलोड किए गए informations की बुनियादी पहुंच की अनुमति देगा ताकि गलत समूह में कुछ अवांछित उपयोगकर्ता समस्या पैदा कर सकें। वैसे यह एक समाधान हो सकता है क्योंकि डेटा के मालिक की एक समस्या होगी यदि वह एक डोमेन को पंजीकृत नहीं करता है ... मुझे लगता है
Fez Vrasta
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.