Eu acho que se você apenas seguir Use Discourse como provedor de identidade (SSO, DiscourseConnect) ou Configurar DiscourseConnect - Single-Sign-On oficial para Discourse (sso) então tudo é criptografado entre o servidor e o cliente.
Se você não quiser que o Discourse saiba os endereços de e-mail reais, as coisas ficarão mais difíceis.