Olá, tenho um problema lidando com contas de spam, elas são criadas através de contas locais. Se eu olhar para uma conta de spam, diz que o e-mail principal não verificado. Quero desabilitar esse tipo de conta para criar um novo Tópico até que verifiquem seu e-mail, como consigo isso?
Não sei se esta configuração ajudará a excluir usuários não verificados
purge_unactivated_users_grace_period_days
definir isso como 0 permitirá usuários não ativados para sempre? parece totalmente o oposto do que este campo serve.
Se seus e-mails não forem verificados, eles não deveriam poder postar. São usuários encenados? (Ou seja, vocês permitem que usuários anônimos enviem e-mails?)
3 curtidas
Ou seja, você permite que usuários anônimos enviem e-mails?
Como verifico isso? Existe uma configuração enable staged users que diz Automatically create staged users when processing incoming emails. e está marcada. É isso que você está perguntando?
É assim que a permissão dessa conta de spam está agora.
Não parece que seja um usuário encenado.
Não tenho certeza de como as pessoas estão acessando seu site com uma conta não ativada. Você tem algum método de login especial?
2 curtidas
Você tem algum método de login especial?
Apenas dois métodos, login local e Google OAuth. Tenho certeza que ele não está usando o Google, pois o domínio dele não é do Gmail.
Vejo que há outro tópico com um problema semelhante ao meu
Não sei se houve algum progresso nesse tópico.
Ah sim, discutimos isso mais detalhadamente em PM. Isso ocorreu porque o SSO não estava verificando os e-mails antes de passá-los para o Discourse.
1 curtida
Como posso prosseguir para encontrar a causa raiz deste problema? Devo entrar em contato com você (ou alguém) por DM?
Não, o melhor é ter um tópico público para que outras pessoas possam dar sugestões, se tiverem alguma. 
Receio não ter muitas outras ideias sobre o que aconteceu. Alguém desativou a conta depois de postar? (Você pode verificar os logs de ação da sua equipe em ‘desativar usuário’)
1 curtida
Sim, eu desativei essa conta depois que vi que ela criou um tópico de spam, o access.log do nginx também não mostrou nenhuma atividade de novo tópico desse usuário. Estou muito confuso sobre como esse cara está criando um novo tópico sem usar a interface web, deve haver alguma outra maneira de criar um tópico além da interface web, é por isso que estou pedindo ajuda aqui.
Se você desativou a conta, isso explicaria por que o e-mail não está verificado (a necessidade de verificar novamente o e-mail faz parte da desativação).
1 curtida
Não, a conta postou um tópico de spam primeiro com e-mail não verificado, é por isso que desativei essa conta.
Acho que estamos nos entendendo mal. 
Não me refiro a Silenciar ou Suspender, mas especificamente a ‘desativar’:
Você verificou os logs de ação da sua equipe?
1 curtida
Desculpe, quis dizer que silenciei e suspendi essa conta após aquele tópico de spam.
Se você não desativou a conta, então acho que você tem que descobrir como eles conseguiram contornar a etapa normal de verificação de e-mail. Pelo que você descreveu até agora, não vejo como isso é possível.
O cadastro local enviaria um e-mail para eles ativarem a conta, o que verifica o e-mail deles, e o cadastro usando o Google também verificaria o e-mail deles.
3 curtidas
temos algum log que possa dar alguma pista? além dos logs do nginx.
Pelo que consigo pensar, não. Você é o único moderador/administrador do site?
Sou administrador desse site, estou apenas tentando ver o que está acontecendo, nem sei onde essa máquina está rodando e não tenho acesso SSH.
Enquanto isso, vejo algo estranho, alguém fez login como “system”, criou uma conta “Test” e a excluiu imediatamente.
Perguntei aos administradores se alguém fez login como conta “system” e criou a conta “Test”, ainda aguardando a resposta deles. Se eles disserem que ninguém fez login como “system” naquele momento, então parece que essa máquina foi comprometida.
Nesse caso, alguém pode criar uma conta de usuário através do banco de dados ignorando a verificação por e-mail? Podemos ver a atividade deles nos logs do banco de dados?
2 curtidas
Se o usuário excluir a conta dele no perfil, os logs mostrarão system no campo do usuário? Deveria mostrar ‘Test’ no campo do usuário, certo? Há algo suspeito aqui.