Могу подтвердить, что первоначальное решение работало идеально и решило эту проблему с Gmail. Если бы этот опциональный режим вернули, это стало бы настоящим спасением.
Спаммеры постоянно осваивают новые техники и по-прежнему успешно обходят такие крупные платформы, как Facebook, Instagram и Twitter. Это делает большинство других площадок «режимом лёгкой игры». Для многих это работа полный рабочий день, поэтому по сути получается:
Если есть возможность эксплуатации и (затраты ресурсов < заработанная сумма), то эксплуатация произойдёт.
Они могут обойти практически любую меру; единственная надежда — повысить стоимость обхода до уровня, когда это становится экономически невыгодным.
Возможность массовой рассылки спама с практически неограниченным количеством писем/аккаунтов (до обнаружения и последующей блокировки их канонического Gmail-адреса модератором/администратором и ручного удаления их постов) довольно экономически эффективна. Особенно если нет команды модераторов, работающих 24/7.
Стоимость обхода анти-спам мер продолжает снижаться. Один из примеров — прокси 4G/5G: за примерно 30–50 долларов в месяц люди могут получить доступ к практически неограниченному количеству реальных мобильных IP-адресов от легитимных провайдеров/ASN, которые автоматически или вручную ротационно меняются и используются целыми городами/штатами легитимными пользователями от крупных провайдеров. IP-адреса 4G/5G используются многими пользователями одновременно.
Блокировка этих провайдеров/ASN или IP-адресов не подходит (нельзя просто заблокировать всех, кто использует Verizon, AT&T и т. д.). Обычно они используют IP один раз и затем выбрасывают его. Заблокированные отдельные IP-адреса из этого списка также заблокируют легитимных пользователей, которые случайно используют тот же IP. Блокировка по IP постепенно становится устаревшей практикой (за исключением ASN известных хостинг-провайдеров). Вы можете увидеть верхушку айсберга на этих форумах:
https://mpsocial.com/c/public-marketplace/61
https://www.blackhatworld.com/forums/proxies-for-sale.112/
Я считаю, что спамеры — это смесь полностью или частично созданных вручную ботов и ручного спама. Поскольку Discourse захватывает всё большую долю рынка, что, очевидно, происходит фантастическими темпами, меня бы удивило, если бы он не стал целью коммерчески доступных ботов.
Как только Xrumer начнёт поддерживать последнюю версию reCAPTCHA, я бы сказал, что большинство вебмастеров на устаревших форумах заметят резкий рост спама из-за крайне низкой стоимости рассылки (больше не нужно использовать API для решения капчи, которые уже очень дёшевы за 1 тыс. решений):
http://botmasterlabs.net/buy1/
Люди уже могут создавать свои собственные плагины/скрипты для поддержки практически любой платформы с помощью Xrumer. Но если однажды они добавят поддержку Discourse «из коробки»:
Я не могу претендовать на беспристрастность, так как сам остро нуждаюсь в анти-спам мерах. Первоначальный пост о трюке с точками в Gmail был создан кем-то другим в 2014 году, и кажется, что другой пользователь решил это, потребовав одобрения для первых X постов, так что, возможно, это уже как минимум три сообщения от пользователей? 
Извините за отступление, возвращаемся к теме.
Что касается блокировки email через регулярные выражения, да, вы правы. Это частичное решение, но не идеальное по следующим причинам:
Если блокировать все Gmail с одной точкой или более перед @:
- Это неизбежно заблокирует реальных легитимных пользователей Gmail, у которых есть одна или несколько точек в адресе, что очень распространено.
- Спамеры всё ещё могут создать довольно много вариаций с одной точкой. Например, Gmail имеет максимальную длину 30 символов, например,
12345678901234567890123456789.0@gmail.comдаст 30 рабочих комбинаций с одной точкой.
Если блокировать все Gmail с двумя точками или более перед @:
- Меньше легитимных Gmail будет заблокировано, но всё равно будут заблокированы легитимные пользователи с более чем одной точкой в адресе.
- Спамеры могут создать гораздо больше вариаций с одним 30-символьным Gmail. Я думаю, около 842 комбинаций.
Могу подтвердить, что новые аккаунты прошли после активации блокировки, так как дата создания блокировки — 1 февраля. Я наблюдал за созданием новых аккаунтов вчера, видя как новые совпадения правила блокировки, так и новые регистрации, использующие комбинации того же email (только точки).
Я отключил регистрации на ночь и включил их снова сегодня утром. На сегодняшний день они создали уже 104 новых аккаунта с перестановками этого адреса Gmail и продолжают регистрировать больше. Могу подтвердить, что после удаления точек из email этих аккаунтов получается точное совпадение с записью заблокированных экраном email.
Я пытался протестировать блокировки в rails c, как описано, и вот тут становится немного странно.
Кажется, что некоторые записи возвращают «true», как и предполагалось, а некоторые возвращают «false», даже если тестируемый email полностью совпадает с каноническим заблокированным email. Для записей, возвращающих «true», всё работало именно так, как задумано, и возвращало true для всех протестированных вариаций. Но для email, возвращающих false, все протестированные вариации также возвращали false.
Я пытался найти какие-либо корреляции. Могу подтвердить, что они не коррелируют (или, по крайней мере, не последовательно коррелируют):
Длина email (до @)
Наличие символов и цифр в email
Количество совпадений (сколько раз заблокирован)
Дата совпадения
Кажется, есть корреляция с датой создания блокировки: более старые блокировки с меньшей вероятностью работают (возвращают false). Записи, созданные 9 дней назад, возвращали смесь true/false, а все записи, которые я тестировал до сих пор и которые были созданы раньше этого (от 1 часа до 8 дней), возвращали true.
Возможно, это связано с опцией «максимальный возраст неподтверждённых email»? Я думаю, эта опция появилась относительно недавно, у меня она установлена по умолчанию на 365 дней.