Злоумышленники уже могут делать это, просто регистрируя новые учётные записи. Если атакующий знает 100 000 адресов электронной почты, он может зарегистрировать 100 000 учётных записей, и Discourse отправит каждому из них письмо с активацией, которое каждый пользователь сможет пометить как спам.
Отправка писем с сообщением «Не удалось сбросить пароль, ваша учётная запись не существует» на адреса учётных записей, которых не существует, не облегчает и не усложняет эту атаку.
Эта атака не является проблемой для большинства сайтов, но если вы обеспокоены, вам следует использовать плагин Discourse hCaptcha, который увеличивает затраты для атакующего. (Meta не использует его; большинство форумов, размещённых на Discourse, также не используют его.)
Я считаю, что если Discourse примет моё предложение начать отправлять письма с сообщением «Не удалось сбросить пароль, ваша учётная запись не существует» на адреса учётных записей, которых не существует, то логично будет расширить работу плагина hCaptcha и на форму сброса пароля, а не только на форму регистрации. (При этом я сам всё равно не стал бы использовать hCaptcha.)