您好,我在处理垃圾邮件账户时遇到了问题,它们是通过本地账户创建的。如果我查看一个垃圾邮件账户,它会显示主电子邮件“未经验证”。我想阻止这类账户创建新主题,直到它们验证其电子邮件,如何实现这一点?
我不知道此设置是否有助于删除未经验证的用户
purge_unactivated_users_grace_period_days
将其设置为 0 是否允许未经激活的用户永远存在?这似乎与该字段的用途完全相反。
如果他们的电子邮件未经验证,则不应允许他们发帖。他们是伪造的用户吗?(也就是说,您是否允许匿名用户通过电子邮件发送信息?)
3 个赞
“也就是说,您允许匿名用户发送电子邮件吗?”
如何检查这一点?有一个名为“启用暂存用户”的设置,上面写着“处理传入电子邮件时自动创建暂存用户。”并且已选中。您问的是这个吗?
这就是该垃圾邮件帐户的权限现在的样子。
这看起来不像是一个已准备好的用户。
我不确定人们是如何用一个未激活的账户登录到你的网站的。你有什么特殊的登录方法吗?
2 个赞
“您有特殊的登录方法吗?”
只有两种方法:本地登录和 Google OAuth。我敢肯定他没有使用 Google,因为他的域名不是 gmail.com。
我看到有另一个帖子和我遇到的问题类似:
我不知道那个帖子有什么进展。
是的,我们在PM中进一步讨论了这个问题。这是因为SSO在将电子邮件传递给Discourse之前没有对其进行验证。
1 个赞
我该如何进一步查找此问题的根本原因?我应该通过私信联系您(或某人)吗?
不,最好有一个公开话题,这样其他人也可以提出他们的想法。 
恐怕我没有更多关于发生了什么的主意了。有人在发帖后停用了他们的账户吗?(你可以在你的 staff action logs 中查找‘deactivate user’)
1 个赞
是的,在我看到该帐户创建了一个垃圾帖子后,我停用了该帐户。nginx 的 access.log 也未显示该用户有任何新的帖子活动。我真的很困惑这个人是如何在不使用 Web 界面的情况下创建帖子的,除了 Web 界面之外,应该还有其他创建帖子的方法,因此我在此寻求帮助。
如果您停用了该帐户,那将解释为什么电子邮件未经验证(他们需要重新验证其电子邮件是停用的一部分)
1 个赞
不,该账户首先发布了一个未经验证的电子邮件的垃圾邮件主题,这就是我停用该账户的原因。
我不是指“静默”或“暂停”,而是特指“停用”:
抱歉,我的意思是,在那个垃圾邮件主题之后,我已将该帐户静默并暂停。
如果您没有停用该帐户,那么我认为您必须弄清楚他们是如何绕过正常的电子邮件验证步骤的。根据您到目前为止所描述的情况,我不知道这怎么可能。
本地注册会向他们发送一封电子邮件来激活他们的帐户,这会验证他们的电子邮件,使用 Google 注册也会验证他们的电子邮件。
3 个赞
除了 Nginx 日志,我们还有其他可以提供线索的日志吗?
我想不到。你是这个网站唯一的版主/管理员吗?
我是那个网站的管理员,我只是想看看发生了什么,我甚至不知道那个盒子在哪里运行,也没有ssh访问权限。
与此同时,我看到一些奇怪的事情,有人以“system”的身份登录,创建了一个“Test”账户,并立即删除。
我问了管理员,当时是否有人以系统账户登录并创建了Test账户,还没有收到他们的回复。如果他们说当时没有人以系统身份登录,那么看起来那个盒子被入侵了。
在这种情况下,是否有人可以通过绕过邮件验证的方式通过数据库创建用户账户?我们是否可以在数据库日志中看到他们的活动?
如果用户从他们的个人资料中删除他们的帐户,日志会在用户字段中显示system吗?它应该在用户字段中显示“Test”,对吧?这里有些蹊跷。