空メールを送信して、その送られてきたメールが
きちんと、会員登録ページからアクセスされたという判断を付けれるのでしょうか?
現在、考えているのは、
空メールを送信する際に、本文に
暗号化かされた一意のIDを埋め込む
それを送信してもらって、メールサーバの方では
DNSサーバに対して、SPFレコードの設定をします。
それで、空メールで送信された本文の一意のIDが
本当にサーバにアクセスされたかどうかの判断は
セッションIDになるんですかね?
そのセッションIDをメール本文に付与せず、
判定って出来るのでしょうか?
ほかにもっとセキュアにやっているというのも
あればいろいろ教えて下さい。
空メールを送信する際に、本文に
暗号化かされた一意のIDを埋め込む
暗号化で無くとも一意の文字列であれば何でもよいと思う。
メールサーバの方では
DNSサーバに対して、SPFレコードの設定をします。
なんでこれがかかわるのか不明。
それで、空メールで送信された本文の一意のIDが
本当にサーバにアクセスされたかどうかの判断は
セッションIDになるんですかね?
会員登録ページからの登録に限るのであれば、その時点で一意のIDをDBに持っていればよい。
ついでにIDの生成時刻と使用済みフラグを持っておけば有効期限や再利用防止の処置が取れる。
そのセッションIDをメール本文に付与せず、
判定って出来るのでしょうか?
空メールを送るメールアドレス自体にIDを含ませることが出来る。
Subject や本文はユーザーが勝手に変更してしまうし、携帯だと古い機種で対応していないのでお勧めしない。
登録後に空メールを送信する仕組みということでしょうか?
空メール送信→登録用URLの書かれたメールを送信
(登録用URLは例えば1時間以内に使えなくなるようになっている)
のようなやり方を取ったことがあります。
また、空メールではなくQRコードなどで本文を入力させるというやり方も考えましたが、そんな面倒臭いのは誰もやらない気がします。
回答者 | 回答 | 受取 | ベストアンサー | 回答時間 | |
---|---|---|---|---|---|
1 | redwing1 | 541回 | 402回 | 3回 | 2008-05-29 01:38:56 |
2 | star-platinum_001 | 169回 | 131回 | 2回 | 2008-06-02 11:57:28 |
コメント(0件)