مرحباً، لدي مشكلة في التعامل مع الحسابات المزعجة، يتم إنشاؤها من خلال الحسابات المحلية، إذا نظرت إلى حساب مزعج، فسيظهر البريد الإلكتروني الأساسي غير مُتحقق منه، أريد تعطيل هذا النوع من الحسابات من إنشاء موضوع جديد حتى يتحققوا من بريدهم الإلكتروني، كيف يمكن تحقيق ذلك؟
لا أعرف ما إذا كان هذا الإعداد سيساعد في حذف المستخدمين غير الموثقين
purge_unactivated_users_grace_period_days
هل سيسمح ضبطه على 0 للمستخدمين غير الموثقين إلى الأبد؟ يبدو أنه عكس ما هو مخصص لهذا الحقل تمامًا.
إذا لم يتم التحقق من صحة رسائل البريد الإلكتروني الخاصة بهم، فلا ينبغي السماح لهم بالنشر. هل هم مستخدمون مدبرون؟ (أي، هل تسمح للمستخدمين المجهولين بإرسال البريد الإلكتروني؟)
3 إعجابات
بمعنى آخر، هل تسمح للمستخدمين المجهولين بإرسال رسائل بريد إلكتروني؟
كيف يمكنني التحقق من ذلك؟ هناك إعداد
تمكين المستخدمين المرحليينوالذي يقولإنشاء مستخدمين مرحليين تلقائيًا عند معالجة رسائل البريد الإلكتروني الواردة.وهو محدد. هل هذا ما تسأل عنه؟هكذا تبدو صلاحيات حساب البريد العشوائي هذه في الوقت الحالي.
لا يبدو أن هذا مستخدم تم إنشاؤه.
لست متأكدًا من كيفية تسجيل الأشخاص الدخول إلى موقعك بحساب غير نشط. هل لديك أي طرق تسجيل دخول خاصة؟
إعجابَين (2)
هل لديك أي طرق تسجيل دخول خاصة؟
هناك طريقتان فقط، تسجيل الدخول المحلي وتسجيل الدخول عبر جوجل OAuth. أنا متأكد من أنه لا يستخدم جوجل، فمجاله ليس ضمن نطاق Gmail.
أرى أن هناك موضوعًا آخر به مشكلة مشابهة لمشكلتي
لا أعرف ما إذا كان هناك أي تقدم في هذا الموضوع.
أجل، لقد ناقشنا ذلك بشكل أكبر في الرسائل الخاصة. كان ذلك بسبب عدم قيام SSO بالتحقق من رسائل البريد الإلكتروني قبل تمريرها إلى Discourse.
إعجاب واحد (1)
كيف يمكنني المتابعة لمعرفة السبب الجذري لهذه المشكلة؟ هل يجب أن أتواصل معك (أو مع شخص ما) عبر الرسائل الخاصة؟
لا، من الأفضل أن يكون لديك موضوع عام حتى يتمكن الآخرون من إبداء آرائهم بأفكار إذا كانت لديهم. 
أخشى أنني لا أملك المزيد من الأفكار حول ما حدث. هل قام شخص ما بإلغاء تنشيط حسابه بعد نشره؟ (يمكنك التحقق من سجلات إجراءات الموظفين لديك بحثًا عن ‘إلغاء تنشيط المستخدم’)
إعجاب واحد (1)
نعم، لقد قمت بتعطيل هذا الحساب بعد أن رأيت أن هذا الحساب أنشأ موضوعًا واحدًا غير مرغوب فيه، ولم يُظهر سجل الوصول الخاص بـ nginx أي نشاط جديد للموضوع من هذا المستخدم أيضًا. أنا مرتبك حقًا بشأن كيفية قيام هذا الشخص بإنشاء موضوع جديد دون استخدام الواجهة الأمامية للويب، يجب أن تكون هناك طريقة أخرى لإنشاء موضوع بخلاف الواجهة الأمامية للويب، ولهذا السبب أطلب المساعدة هنا.
إذا قمت بإلغاء تنشيط الحساب، فسيوضح ذلك سبب عدم التحقق من صحة البريد الإلكتروني (حاجتهم إلى إعادة التحقق من بريدهم الإلكتروني هو جزء من إلغاء التنشيط)
إعجاب واحد (1)
لا، لقد نشر الحساب موضوعًا غير مرغوب فيه أولاً بعنوان بريد إلكتروني غير موثق، ولهذا السبب قمت بتعطيل هذا الحساب.
أعتقد أننا قد نكون نتحدث بشكل غير مفهوم. 
لا أقصد “الصمت” أو “الإيقاف المؤقت”، بل “إلغاء التنشيط” على وجه التحديد:
هل تحققت من سجلات إجراءات الموظفين لديك؟
إعجاب واحد (1)
عذرًا، كنت أقصد أنني قمت بـ كتم و تعليق هذا الحساب بعد موضوع البريد العشوائي ذاك.
إذا لم تقم بتعطيل الحساب، فأعتقد أنه عليك معرفة كيف تمكنوا من تجاوز خطوة التحقق العادية عبر البريد الإلكتروني. بناءً على ما وصفته حتى الآن، لا أرى كيف يكون هذا ممكنًا.
التسجيل محليًا سيرسل لهم بريدًا إلكترونيًا لتفعيل حسابهم، مما يتحقق من بريدهم الإلكتروني، والتسجيل باستخدام جوجل سيتحقق أيضًا من بريدهم الإلكتروني.
3 إعجابات
هل لدينا أي سجلات يمكن أن تعطينا فكرة؟ بخلاف سجلات nginx.
ليس حسب علمي. هل أنت المشرف/المسؤول الوحيد للموقع؟
أنا مسؤول عن هذا الموقع، أحاول فقط معرفة ما يجري، لا أعرف حتى أين يتم تشغيل هذا الصندوق وليس لدي وصول SSH.
في هذه الأثناء، أرى شيئًا غريبًا، قام شخص ما بتسجيل الدخول باسم “system”، وأنشأ حساب “Test” وحذفه على الفور.
لقد سألت مسؤولي النظام عما إذا كان أي شخص قد سجل الدخول باسم حساب “system” وأنشأ حساب “Test”، وما زلت أنتظر ردهم. إذا قالوا إنه لم يسجل أحد الدخول باسم “system” في ذلك الوقت، فسيبدو أن هذا الصندوق قد تم اختراقه.
في هذه الحالة، هل يمكن لأي شخص إنشاء حساب مستخدم عبر قاعدة البيانات متجاوزًا التحقق من البريد الإلكتروني؟ هل يمكننا رؤية نشاطهم في سجلات قاعدة البيانات؟
إذا قام المستخدم بحذف حسابه من ملفه الشخصي، فهل ستظهر السجلات system في حقل المستخدم؟ يجب أن تظهر ‘Test’ في حقل المستخدم، أليس كذلك؟ هناك شيء مريب هنا.