Hallo, ich habe Probleme mit Spam-Konten, sie werden über lokale Konten erstellt. Wenn ich mir ein Spam-Konto ansehe, steht dort, dass die primäre E-Mail nicht verifiziert ist. Ich möchte diese Art von Konten deaktivieren, damit sie kein neues Thema erstellen können, bis sie ihre E-Mail verifiziert haben. Wie kann ich das erreichen?
Ich weiß nicht, ob diese Einstellung dabei hilft, nicht verifizierte Benutzer zu löschen
purge_unactivated_users_grace_period_days
Wenn dies auf 0 gesetzt wird, können nicht aktivierte Benutzer für immer bleiben? Es scheint das genaue Gegenteil von dem zu sein, wofür dieses Feld gedacht ist.
Wenn ihre E-Mails nicht verifiziert sind, sollten sie nicht posten dürfen. Sind das inszenierte Benutzer? (Das heißt, erlauben Sie anonymen Benutzern, per E-Mail zu senden?)
3 „Gefällt mir“
Das heißt, erlauben Sie anonymen Benutzern, per E-Mail zu senden?
Wie kann ich das überprüfen? Es gibt eine Einstellung enable staged users (Benutzer in der Vorschaltphase aktivieren), die besagt Automatically create staged users when processing incoming emails. (Automatisch Benutzer in der Vorschaltphase erstellen, wenn eingehende E-Mails verarbeitet werden.) und diese ist aktiviert. Ist es das, was Sie fragen?
So sehen die Berechtigungen für dieses Spam-Konto derzeit aus.
Es sieht nicht so aus, als wäre das ein gestellter Nutzer.
Ich bin mir nicht sicher, wie Leute sich mit einem nicht aktivierten Konto auf Ihrer Website anmelden können. Haben Sie spezielle Anmeldemethoden?
2 „Gefällt mir“
Haben Sie spezielle Anmeldemethoden?
Nur zwei Methoden, lokale Anmeldung und Google OAuth. Ich bin mir ziemlich sicher, dass er Google nicht benutzt, seine Domain ist nicht unter Gmail.
Ich sehe, dass es einen anderen Thread mit einem ähnlichen Problem wie meinem gibt
Ich weiß nicht, ob es in diesem Thread Fortschritte gibt.
Ja, das haben wir im PM weiter besprochen. Das lag daran, dass SSO die E-Mails nicht verifiziert hat, bevor sie an Discourse weitergeleitet wurden.
1 „Gefällt mir“
Wie kann ich weiter vorgehen, um die Ursache dieses Problems zu finden? Soll ich Sie (oder jemanden) per Direktnachricht kontaktieren?
Nein, am besten hast du ein öffentliches Thema, damit andere Leute Ideen einbringen können, falls sie welche haben. 
Ich fürchte, ich habe nicht mehr viele Ideen, was passiert sein könnte. Hat jemand sein Konto deaktiviert, nachdem er etwas gepostet hat? (Du kannst deine Mitarbeiteraktionsprotokolle nach „Benutzer deaktivieren“ durchsuchen)
1 „Gefällt mir“
Ja, ich habe dieses Konto deaktiviert, nachdem ich gesehen hatte, dass dieses Konto ein Spam-Thema erstellt hat. Die access.log von nginx zeigte auch keine neue Aktivität zu diesem Thema von diesem Benutzer. Ich bin wirklich verwirrt, wie dieser Kerl neue Themen erstellt, ohne die Webschnittstelle zu benutzen. Es muss einen anderen Weg geben, Themen zu erstellen, außer über die Webschnittstelle. Deshalb bitte ich hier um Hilfe.
Wenn Sie das Konto deaktiviert hätten, würde das erklären, warum die E-Mail nicht verifiziert ist (die Notwendigkeit, ihre E-Mail erneut zu verifizieren, ist Teil der Deaktivierung).
1 „Gefällt mir“
Nein, das Konto hat zuerst ein Spam-Thema mit einer nicht verifizierten E-Mail gepostet, deshalb habe ich dieses Konto deaktiviert.
Ich glaube, wir reden aneinander vorbei. 
Ich meine nicht Stoppen oder Aussetzen, sondern speziell „deaktivieren“:
Haben Sie Ihre Mitarbeiteraktionsprotokolle überprüft?
1 „Gefällt mir“
Entschuldigung, ich meinte, ich habe diesen Account nach diesem Spam-Thema stummgeschaltet und gesperrt.
Wenn Sie das Konto nicht deaktiviert haben, dann müssen Sie herausfinden, wie sie den normalen E-Mail-Verifizierungsschritt umgehen konnten. Soweit Sie bisher beschrieben haben, sehe ich keine Möglichkeit, wie das möglich ist.
Die lokale Anmeldung würde ihnen eine E-Mail zur Aktivierung ihres Kontos senden, was ihre E-Mail verifiziert, und die Anmeldung über Google würde ebenfalls ihre E-Mail verifizieren.
3 „Gefällt mir“
Haben wir irgendwelche Protokolle, die einen Hinweis geben könnten? Abgesehen von den Nginx-Protokollen.
Soweit ich weiß nicht. Sind Sie der einzige Moderator/Administrator für die Website?
Ich bin Administrator dieser Website, ich versuche nur herauszufinden, was vor sich geht, ich weiß nicht einmal, wo diese Box läuft und habe keinen SSH-Zugang.
In der Zwischenzeit sehe ich etwas Seltsames, jemand hat sich als „system“ angemeldet, ein „Test“-Konto erstellt und es sofort gelöscht.
Ich habe die Administratoren gefragt, ob sich jemand als Systemkonto angemeldet und ein Testkonto erstellt hat, ich warte noch auf eine Antwort von ihnen. Wenn sie sagen, dass sich niemand zu diesem Zeitpunkt als System angemeldet hat, dann sieht es so aus, als wäre diese Box kompromittiert.
Kann in diesem Fall jemand ein Benutzerkonto über die Datenbank erstellen, ohne die E-Mail-Verifizierung zu umgehen? Können wir ihre Aktivitäten in den Datenbankprotokollen sehen?
Ich denke, das wird in den Protokollen angezeigt, wenn ein Benutzer die Schaltfläche „Löschen“ in seinem Profil verwendet.
2 „Gefällt mir“
Wenn der Benutzer sein Konto in seinem Profil löscht, werden die Protokolle dann system im Benutzerfeld anzeigen? Es sollte doch ‘Test’ im Benutzerfeld anzeigen, oder? Hier stimmt etwas nicht.