Los atacantes ya podrían hacer eso simplemente registrando nuevas cuentas. Si el atacante conoce 100.000 direcciones de correo electrónico, puede registrar 100.000 cuentas, y Discourse enviará a cada una de ellas un correo electrónico de activación, que cada usuario podría marcar como spam.
Enviar correos electrónicos de “no se puede restablecer la contraseña, tu cuenta no existe” a direcciones de correo electrónico de cuentas que no existen no hace que ese ataque sea más fácil ni más difícil.
Este ataque no es un problema para la mayoría de los sitios, pero si te preocupa, deberías usar el plugin Discourse hCaptcha, que aumenta el coste para el atacante. (Meta no lo usa; la mayoría de los foros alojados por Discourse no lo usan).
Creo que si Discourse acepta mi sugerencia de empezar a enviar correos electrónicos de “no se puede restablecer la contraseña, tu cuenta no existe” a direcciones de correo electrónico de cuentas que no existen, tendría sentido que el plugin hCaptcha funcionara tanto en el formulario de restablecimiento de contraseña como en el de registro. (Yo todavía no necesitaría/usaría hCaptcha).