Hola, tengo problemas para lidiar con cuentas de spam, se crean a través de cuentas locales. Si miro una cuenta de spam, dice que el correo electrónico principal no está verificado. Quiero deshabilitar este tipo de cuentas para que no creen nuevos temas hasta que verifiquen su correo electrónico, ¿cómo lo logro?
No sé si esta configuración ayudará a eliminar usuarios no verificados
purge_unactivated_users_grace_period_days
¿establecer esto en 0 permitirá que los usuarios no activados permanezcan para siempre? parece ser completamente opuesto a lo que se supone que hace este campo.
Si sus correos electrónicos no están verificados, entonces no deberían poder publicar. ¿Son usuarios ficticios? (Es decir, ¿permiten que los usuarios anónimos envíen correos electrónicos?)
3 Me gusta
Es decir, ¿permiten que los usuarios anónimos envíen correos electrónicos?
¿Cómo compruebo esto? Hay una configuración enable staged users que dice Automatically create staged users when processing incoming emails. y está marcada. ¿Es esto lo que preguntas?
Así es como se ve actualmente el permiso de esa cuenta de spam.
No parece que sea un usuario simulado.
No estoy seguro de cómo la gente está iniciando sesión en tu sitio con una cuenta no activada. ¿Tienes algún método de inicio de sesión especial?
2 Me gusta
¿Tienes algún método de inicio de sesión especial?
Solo dos métodos, inicio de sesión local y Google OAuth. Estoy bastante seguro de que no está usando Google, su dominio no está bajo gmail.
Veo que hay otro hilo con un problema similar al mío
No sé si hay algún progreso en ese hilo.
Ah sí, lo discutimos más a fondo en PM. Eso se debió a que SSO no verificaba los correos electrónicos antes de pasarlos a Discourse.
1 me gusta
¿Cómo puedo proceder para encontrar la causa raíz de este problema? ¿Debo contactarte (o a alguien) por mensaje directo?
No, es mejor tener un tema público para que otras personas puedan aportar ideas si las tienen. 
Me temo que no tengo muchas más ideas sobre lo que ha sucedido. ¿Alguien desactivó su cuenta después de publicar? (Puedes consultar los registros de acciones de tu personal en busca de ‘desactivar usuario’)
1 me gusta
Sí, desactivé esa cuenta después de ver que esa cuenta creó un tema de spam, el access.log de nginx tampoco mostró ninguna actividad nueva de tema por parte de este usuario. Estoy realmente confundido sobre cómo este tipo crea un nuevo tema sin usar la interfaz web, debería haber alguna otra forma de crear un tema que no sea a través de la interfaz web, por eso pido ayuda aquí.
Si desactivaste la cuenta, eso explicaría por qué el correo electrónico no está verificado (necesitar que vuelvan a verificar su correo electrónico es parte de la desactivación).
1 me gusta
No, la cuenta publicó primero un tema de spam con un correo electrónico no verificado, por eso desactivé esa cuenta.
Creo que estamos hablando en vano. 
No me refiero a Silenciar o Suspender, sino específicamente a ‘desactivar’:
¿Has revisado los registros de acciones de tu personal?
1 me gusta
Lo siento, quise decir que silencié y suspendí esa cuenta después de ese tema de spam.
Si no desactivaste la cuenta, entonces creo que tienes que averiguar cómo lograron omitir el paso normal de verificación por correo electrónico. Por lo que has descrito hasta ahora, no veo cómo es posible.
Registrarse localmente les enviaría un correo electrónico para activar su cuenta, lo que verifica su correo electrónico, y registrarse usando Google también verificaría su correo electrónico.
3 Me gusta
¿Tenemos algún registro que pueda dar alguna pista? Aparte de los registros de nginx.
No que eu consigo pensar. Você é o único moderador/administrador do site?
Soy administrador de ese sitio web, solo estoy tratando de ver qué está pasando, ni siquiera sé dónde se está ejecutando esa caja y no tengo acceso SSH.
Mientras tanto, veo algo extraño, alguien inició sesión como “system”, creó una cuenta “Test” y la eliminó inmediatamente.
Les pregunté a los administradores si alguien había iniciado sesión como cuenta del sistema y creado la cuenta Test, todavía no he recibido respuesta de ellos. Si dicen que nadie inició sesión como sistema en ese momento, entonces parece que esa caja está comprometida.
En este caso, ¿alguien puede crear una cuenta de usuario a través de la base de datos omitiendo la verificación por correo electrónico? ¿Podemos ver su actividad en los registros de la base de datos?
Creo que esto se muestra en los registros cuando un usuario utiliza el botón de eliminar en su perfil.
2 Me gusta
Si el usuario elimina su cuenta desde su perfil, ¿mostrarán los registros system en el campo de usuario? Debería mostrar ‘Test’ en el campo de usuario, ¿verdad? Aquí hay algo sospechoso.