"許可されたグループのメール"設定が過度に寛容

joshwhit · 2024 年 1 月 29 日午後 3:05

皆さん、こんにちは。

メーリングリストモードでセルフホスト型の Discourse インスタンスを運用しており、Mailman の代替として作成しました。

トピックを作成するカスタム受信メールアドレスを持つ 3 つのカテゴリを設定しており、これらは正しく機能しているように見えました。

残念ながら、カテゴリで「作成」権限を持たないユーザーが、メールを送信することでトピックを作成できることがわかりました。

「メール通知」を調整して、メールによるトピック作成の権限を特定の特権グループに制限しました。残念ながら、特権グループに属さないユーザーでも、引き続きメールでトピックを作成できます。

アプリを停止して再起動しましたが、この動作は継続しています。また、アプリを最新の tests-passed ブランチ (3.2.0 beta5-dev Commits · discourse/discourse · GitHub) に更新しようとしましたが、残念ながら効果はありませんでした。古いビルドは約 2 週間前のものです。

「カテゴリがメーリングリストをミラーリングする」は、3 つのカテゴリすべてでチェックされています。

各カテゴリでメールによる投稿を特定のグループに制限できれば、移行元のメーリングリストの権限により近くなるため、大変助かります。

メールによる返信は、カテゴリのセキュリティ設定の「返信」と一致する方法で、ユーザーに対して拒否されています。メールによるトピック作成も、「作成」設定に連動してくれると大変助かります。

何かお手伝いできることやアドバイスがあれば、どんな情報でも喜んで提供しますので、お知らせください。

よろしくお願いいたします。

Lilly · 2024 年 1 月 29 日午後 4:21

このトピックはもう読みましたか？

joshwhit · 2024 年 1 月 30 日午前 8:22

リリアン様

メッセージありがとうございます。このドキュメントを読むと、私たちが達成しようとしていることは、Discourse の期待される動作のようです。

リンクされたドキュメントを読むと、この部分が最も関連性があります。

カテゴリを使用する理由

category を使用することは、メーリングリストをシミュレートしたい場合に役立ちます。
私たちはこの理由でカテゴリを使用しています
category にメールを送信すると、そのカテゴリにトピックが作成されます。
これは正しく機能しています
その category へのアクセス権を持つ人は誰でも、Web インターフェイスまたはメールを使用して読み取り、返信できます。
これも正しく機能しています
category に送信されたメールは、カテゴリのセキュリティ設定を尊重する必要があります。
Web UI で返信できないユーザーは、メールログを確認すると ReplyNotAllowedError を受け取ります。これは私たちが望んでいることです。Web UI でトピックを作成できないユーザーは、受信メールアドレスにメールを送信するとトピックを作成できます。これは私たちが抱えている問題の 1 つです。彼らは、見ることのできないカテゴリにトピックを作成することさえできます。
category に送信されたメールは、email in allowed groups サイト設定を尊重する必要があります。
私は、不正なグループが上記の方法でトピックを作成するのを防ぐために、この設定を使用し始めましたが、これも機能しませんでした。
category ごとにステージングユーザーを無効にすることができます。
私たちの Discourse インスタンスは招待制なので、ステージングユーザーは無効になっており、未知のユーザーは StrangerNotAllowed エラーを受け取ります。これは望ましい動作です

アプリの停止と再起動、および Web GUI を介したアプリのアップグレードを試しました。完全な再構築をお勧めしますか？

これらの問題に最も関連性の高いログは何ですか？

重ねて、よろしくお願いいたします。

joshwhit · 2024 年 1 月 30 日午前 9:32

こんにちは、再びご連絡します。

簡単なアップデートです。アプリの再構築を試みましたが、残念ながら動作は変わりませんでした。この問題が発生する理由を特定するために、さらにログを探してみます。

joshwhit · 2024 年 1 月 30 日午前 11:04

こんにちは。

いくつか調査・テストを行った結果、「メーリングリストのカテゴリミラー」にチェックを入れると、ソースコードのこちらで確認できるように、検証がスキップされることがわかりました。

github.com/discourse/discourse

lib/email/receiver.rb

main


      
                  added_attachments << upload
                end
              else
                rejected_attachments << upload
                raw << "\n\n#{I18n.t("emails.incoming.missing_attachment", filename: upload.original_filename)}\n\n"
              end
            ensure
              tmp&.close!
            end
          end
          
          if rejected_attachments.present? && !user.staged?
            notify_about_rejected_attachment(rejected_attachments)
          end
          
          if added_attachments.present?
            markdown =
              added_attachments.map { |upload| UploadMarkdown.new(upload).to_markdown }.join("\n")
            if markdown.present?
              raw << "\n\n"
              raw << "[details=\"#{I18n.t("emails.incoming.attachments")}\"]"

このオプションのチェックを外したところ、権限は期待どおりに機能しました。

これにより、期待どおりに権限に基づいて許可/拒否されるようになりました。

今後のユーザーの参考になるよう、この点をドキュメントに追加していただけますでしょうか？

Lillyさん、ご協力ありがとうございました。

トピック		返信	表示
Configuring incoming email to create new topics or group messages Site Management how-to , email-in	3	23968	2024 年 12 月 11 日
Creating a topic via email without write access to the category? Support	4	1673	2021 年 12 月 21 日
Mirrored mailing list is rejecting registered forum users Bug	2	36	2025 年 8 月 1 日
How to create topics from a custom email address? Support email-in	9	134	2024 年 8 月 15 日
Category not accepting "anonymous email" from known users Bug	26	3530	2025 年 11 月 3 日

"許可されたグループのメール"設定が過度に寛容

カテゴリを使用する理由

関連トピック