Salut, j’ai un problème avec les comptes spam, ils sont créés via des comptes locaux. Si je regarde un compte spam, il est indiqué que l’e-mail principal non vérifié. Je veux désactiver ce type de comptes pour qu’ils ne puissent pas créer de nouveau sujet tant qu’ils n’ont pas vérifié leur e-mail. Comment puis-je y parvenir ?
Je ne sais pas si ce paramètre aidera à supprimer les utilisateurs non vérifiés
purge_unactivated_users_grace_period_days
le définir sur 0 permettra aux utilisateurs non activés pour toujours ? cela semble tout à fait le contraire de ce à quoi sert ce champ.
Si leurs e-mails ne sont pas vérifiés, ils ne devraient pas être autorisés à publier. S’agit-il d’utilisateurs mis en scène ? (C’est-à-dire, autorisez-vous les utilisateurs anonymes à envoyer des e-mails ?)
3 « J'aime »
C’est-à-dire, autorisez-vous les utilisateurs anonymes à envoyer des e-mails ?
Comment vérifier cela ? Il y a un paramètre enable staged users qui dit Automatically create staged users when processing incoming emails. et il est coché. Est-ce ce que vous demandez ?
Voici à quoi ressemble actuellement l’autorisation de ce compte de spam.
Il ne semble pas qu’il s’agisse d’un utilisateur mis en scène.
Je ne suis pas sûr de la façon dont les gens se connectent à votre site avec un compte non activé. Avez-vous des méthodes de connexion spéciales ?
2 « J'aime »
Avez-vous des méthodes de connexion spéciales ?
Seulement deux méthodes, connexion locale et Google OAuth. Je suis à peu près sûr qu’il n’utilise pas Google, son domaine n’est pas sous Gmail.
Je vois qu’il y a un autre fil de discussion avec un problème similaire au mien
Je ne sais pas s’il y a eu des progrès sur ce fil de discussion.
Ah oui, nous en avons discuté plus en détail en MP. C’était dû au fait que l’SSO ne vérifiait pas les e-mails avant de les transmettre à Discourse.
1 « J'aime »
Comment puis-je procéder pour trouver la cause profonde de ce problème ? dois-je vous contacter (ou quelqu’un) par message privé ?
Non, il est préférable d’avoir un sujet public pour que d’autres personnes puissent donner leur avis si elles ont des idées. 
Je crains de ne pas avoir beaucoup d’autres idées sur ce qui s’est passé. Quelqu’un a-t-il désactivé son compte après avoir posté ? (Vous pouvez vérifier vos journaux d’actions du personnel pour « désactiver l’utilisateur »)
1 « J'aime »
Oui, j’ai désactivé ce compte après avoir vu que ce compte avait créé un sujet de spam, le access.log de nginx n’a montré aucune activité de nouveau sujet de la part de cet utilisateur. Je suis vraiment confus de voir comment ce type crée de nouveaux sujets sans utiliser l’interface web, il doit y avoir un autre moyen de créer des sujets autres que l’interface web, c’est pourquoi je demande de l’aide ici.
Si vous avez désactivé le compte, cela expliquerait pourquoi l’e-mail n’est pas vérifié (le fait qu’ils doivent revérifier leur e-mail fait partie de la désactivation).
1 « J'aime »
Non, le compte a d’abord posté un sujet de spam avec un e-mail non vérifié, c’est pourquoi j’ai désactivé ce compte.
Je pense que nous nous comprenons mal. 
Je ne veux pas dire Silence ou Suspendre, mais spécifiquement « désactiver » :
Avez-vous vérifié vos journaux d’actions du personnel ?
1 « J'aime »
Désolé, je voulais dire que j’avais silencié et suspendu ce compte après ce sujet de spam.
Si vous n’avez pas désactivé le compte, alors je pense que vous devez déterminer comment ils ont réussi à contourner l’étape normale de vérification par e-mail. D’après ce que vous avez décrit jusqu’à présent, je ne vois pas comment cela est possible.
L’inscription locale leur enverrait un e-mail pour activer leur compte, ce qui vérifie leur e-mail, et l’inscription via Google vérifierait également leur e-mail.
3 « J'aime »
Avons-nous des journaux qui pourraient donner un indice ? Outre les journaux nginx.
Pas que je sache. Êtes-vous le seul modérateur/administrateur du site ?
Je suis administrateur de ce site web, j’essaie juste de voir ce qui se passe, je ne sais même pas où cette boîte s’exécute et je n’ai pas d’accès SSH.
Pendant ce temps, je vois quelque chose d’étrange, quelqu’un s’est connecté en tant que « system », a créé un compte « Test » et l’a supprimé immédiatement.
J’ai demandé aux administrateurs si quelqu’un s’était connecté en tant que compte système et avait créé un compte Test, j’attends toujours leur réponse. S’ils disent que personne ne s’est connecté en tant que système à ce moment-là, alors il semble que cette boîte soit compromise.
Dans ce cas, quelqu’un peut-il créer un compte utilisateur via la base de données en contournant la vérification par e-mail ? Pouvons-nous voir leur activité dans les journaux de la base de données ?
Je pense que cela est indiqué dans les journaux lorsqu’un utilisateur utilise le bouton de suppression sur son profil.
2 « J'aime »
Si l’utilisateur supprime son compte depuis son profil, les journaux afficheront-ils system dans le champ utilisateur ? il devrait afficher ‘Test’ dans le champ utilisateur, n’est-ce pas ? il y a quelque chose de louche ici.