我对错误与预期行为的争论感到有些困惑。我的理解是,出于安全原因,如果电子邮件地址与现有的非暂存用户匹配,则不允许通过电子邮件创建新主题;这是因为电子邮件地址可以被伪造,因此用户可能被冒充。
回复被认为是可接受的,因为地址包含回复密钥,这表明发件人是通知电子邮件的收件人,因此很可能是真实用户。
如果对预期行为的这种解释是正确的,那么它与我实际遇到的情况相矛盾。如果我的用户有权在类别中创建,并且我从我的注册电子邮件地址向该类别的 email_in 地址发送电子邮件,则电子邮件地址将与我的用户匹配,并由我的用户创建新主题。
无论是否启用了“允许没有帐户的匿名用户发送电子邮件”,都会发生这种情况,因为我的用户确实拥有创建权限。
在启用了“匿名用户”中的电子邮件的情况下,当前情况似乎是:
- 从没有用户的地址接收电子邮件;创建暂存用户,创建新主题**。
- “ ” “ 地址与暂存用户匹配;匹配暂存用户,创建新主题**。
- “ ” “ 地址与具有创建权限的真实用户匹配;匹配真实用户,创建新主题**。
- “ ” “ 地址与没有创建权限的真实用户匹配;匹配真实用户,拒绝新主题**。
(注意:我刚才没有测试 4)在启用了“匿名用户”中的电子邮件的情况下,我期望 3 和 4 的行为始终相同。无论是都拒绝以防止冒充,还是都接受,因为真实用户不应比匿名用户拥有更少的权限,它们不应有不同的结果。