Creo que si sigues Usar Discourse como proveedor de identidad (SSO, DiscourseConnect) o Configurar DiscourseConnect - Inicio de sesión único oficial para Discourse (sso) entonces todo está cifrado entre el servidor y el cliente.
Si no quieres que Discourse conozca las direcciones de correo electrónico reales, las cosas serán más difíciles.