Estou um pouco confuso com o debate sobre bug versus comportamento intencional. A maneira como interpretei é que, por razões de segurança, a criação de novos tópicos por e-mail não é permitida se o endereço de e-mail corresponder a um usuário existente não preparado; isso ocorre porque os endereços de e-mail podem ser falsificados e, portanto, os usuários podem ser impersonados.
As respostas são presumivelmente aceitáveis porque o endereço inclui a chave de resposta, demonstrando que o remetente foi o destinatário do e-mail de notificação e, portanto, é provável que seja o usuário real.
Se essa interpretação do comportamento intencional estiver correta, ela é contraditória com o que estou realmente experimentando. Se o meu usuário tem permissão para criar na categoria e eu envio um e-mail do meu endereço de e-mail registrado para o endereço email_in da categoria, o endereço de e-mail é correspondido ao meu usuário e um novo tópico é criado pelo meu usuário.
Isso acontece independentemente de aceitar e-mails de usuários anônimos sem contas estar habilitado, já que meu usuário tem permissão para criar.
A situação atual parece ser: (com e-mail em usuários anônimos habilitado)
- E-mail recebido de endereço sem usuário; usuário preparado criado, novo tópico criado.
- " " " endereço com usuário preparado; usuário preparado correspondido, novo tópico criado.
- " " " endereço com usuário real com permissão de criação; usuário real correspondido, novo tópico criado.
- " " " endereço com usuário real sem permissão de criação; usuário real correspondido, novo tópico rejeitado.
(Nota: Eu não testei o 4 agora) Com e-mail em usuários anônimos habilitado, eu esperaria que 3 e 4 se comportassem da mesma maneira. Quer ambos sejam rejeitados para proteger contra impersonação ou ambos aceitos com base no fato de que um usuário real não deveria ter menos permissões do que um usuário anônimo, eles não deveriam ter resultados diferentes.