Ciao, ho un problema con la gestione degli account spam, vengono creati tramite account locali. Se guardo in un account spam, dice che l’email principale non verificata. Voglio disabilitare questo tipo di account dal creare nuovi argomenti finché non verificano la loro email, come posso ottenere questo?
Non so se questa impostazione aiuterà a eliminare gli utenti non verificati
purge_unactivated_users_grace_period_days
impostarla su 0 permetterà agli utenti non attivati per sempre? Sembra l’esatto contrario di ciò per cui serve questo campo.
Se le loro email non sono verificate, allora non dovrebbero essere autorizzati a pubblicare. Sono utenti di scena? (Ovvero, consentite agli utenti anonimi di inviare email?)
3 Mi Piace
Cioè, consenti agli utenti anonimi di inviare email?
come posso verificarlo? c’è un’impostazione enable staged users che dice Automatically create staged users when processing incoming emails. ed è selezionata. è questo che stai chiedendo?
Questo è l’aspetto attuale dell’autorizzazione di quell’account spam.
Non sembra che si tratti di un utente di prova.
Non sono sicuro di come le persone accedano al tuo sito con un account non attivato. Hai metodi di accesso speciali?
2 Mi Piace
Hai metodi di accesso speciali?
Solo due metodi, accesso locale e Google OAuth. Sono abbastanza sicuro che non stia usando Google, il suo dominio non è sotto Gmail.
Vedo che c’è un altro thread con un problema simile al mio
Non so se ci sono progressi su quel thread.
Ah sì, ne abbiamo discusso ulteriormente in PM. Ciò era dovuto al fatto che SSO non verificava le email prima di passarle a Discourse.
1 Mi Piace
Come posso procedere ulteriormente per trovare la causa principale di questo problema? Devo contattare te (o qualcun altro) tramite messaggio privato?
No, è meglio avere un argomento pubblico in modo che altre persone possano intervenire con idee, se ne hanno. 
Temo di non avere molte altre idee su cosa sia successo. Qualcuno ha disattivato il proprio account dopo aver pubblicato? (Puoi controllare i tuoi log delle azioni dello staff per ‘disattiva utente’)
1 Mi Piace
Sì, ho disattivato quell’account dopo aver visto che quell’account ha creato un argomento di spam, il file access.log di nginx non ha mostrato alcuna attività di nuovi argomenti da parte di questo utente. Sono davvero confuso su come questo tizio stia creando un nuovo argomento senza usare l’interfaccia web, ci dovrebbe essere un altro modo per creare argomenti oltre all’interfaccia web, ecco perché chiedo aiuto qui.
Se hai disattivato l’account, ciò spiegherebbe perché l’email non è verificata (la necessità di riverificare la loro email fa parte della disattivazione).
1 Mi Piace
No, l’account ha pubblicato per primo un argomento di spam con un’e-mail non verificata, ecco perché ho disattivato quell’account.
Penso che potremmo fraintendere. 
Non intendo Silenzia o Sospendi, ma specificamente ‘disattiva’:
Hai controllato i log delle azioni del tuo staff?
1 Mi Piace
Mi dispiace, intendevo dire che ho silenced e suspended quell’account dopo quell’argomento di spam.
Se non hai disattivato l’account, allora penso che tu debba capire come sono riusciti a bypassare il normale passaggio di verifica dell’e-mail. Da quello che hai descritto finora, non vedo come sia possibile.
La registrazione locale invierebbe loro un’e-mail per attivare il loro account, che verifica la loro e-mail, e la registrazione tramite Google verificherebbe anche la loro e-mail.
3 Mi Piace
Abbiamo dei log che possano dare qualche indizio? Oltre ai log di nginx.
Non che mi venga in mente. Sei l’unico mod/admin del sito?
Sono un amministratore di quel sito web, sto solo cercando di capire cosa sta succedendo, non so nemmeno dove sia in esecuzione quella macchina e non ho accesso SSH.
Nel frattempo, vedo qualcosa di strano, qualcuno ha effettuato l’accesso come “system”, ha creato un account “Test” e lo ha eliminato immediatamente.
Ho chiesto ai ragazzi dell’amministrazione se qualcuno avesse effettuato l’accesso come account di sistema e creato l’account Test, sono ancora in attesa di una risposta. Se dicono che nessuno ha effettuato l’accesso come system in quel momento, allora sembra che quella macchina sia stata compromessa.
In questo caso, qualcuno può creare un account utente tramite il database bypassando la verifica via email? Possiamo vedere la loro attività nei log del database?
Penso che questo venga mostrato nei log quando un utente utilizza il pulsante di eliminazione nel proprio profilo.
2 Mi Piace
Se l’utente elimina il proprio account dal proprio profilo, i log mostreranno system nel campo utente? dovrebbe mostrare ‘Test’ nel campo utente, giusto? c’è qualcosa di strano qui.