Я немного запутался в споре о том, является ли это ошибкой или ожидаемым поведением. Моё понимание таково: по соображениям безопасности создание новых тем по электронной почте не разрешено, если адрес электронной почты совпадает с адресом существующего не-стадируемого пользователя. Это связано с тем, что адреса электронной почты можно подделать, и поэтому пользователи могут быть выданы за других.
Ответы, по-видимому, допустимы, так как адрес включает ключ ответа, что доказывает, что отправитель был получателем уведомления по электронной почте и, следовательно, скорее всего, является реальным пользователем.
Если это толкование ожидаемого поведения верно, то оно противоречит тому, что я на самом деле наблюдаю. Если мой пользователь имеет разрешение на создание в категории, и я отправляю письмо с моего зарегистрированного адреса электронной почты на адрес email_in категории, то адрес электронной почты сопоставляется с моим пользователем, и новая тема создается от имени моего пользователя.
Это происходит независимо от того, включена ли настройка «принимать письма от анонимных пользователей без аккаунтов», поскольку мой пользователь имеет разрешение на создание.
Текущая ситуация выглядит следующим образом (с включенной настройкой «принимать письма от анонимных пользователей»):
- Письмо получено с адреса без пользователя; создан стадируемый пользователь, новая тема создана.
- " " " адрес со стадируемым пользователем; стадируемый пользователь сопоставлен, новая тема создана.
- " " " адрес с реальным пользователем, имеющим разрешение на создание; реальный пользователь сопоставлен, новая тема создана.
- " " " адрес с реальным пользователем без разрешения на создание; реальный пользователь сопоставлен, новая тема отклонена.
(Примечание: я не тестировал пункт 4 только что). При включенной настройке «принимать письма от анонимных пользователей» я ожидал бы, что пункты 3 и 4 всегда будут вести себя одинаково. Независимо от того, отклоняются ли оба варианта для защиты от подмены личности или принимаются оба на том основании, что реальный пользователь не должен иметь меньше прав, чем анонимный, они не должны давать разные результаты.