Les messages personnels peuvent être envoyés à des adresses e-mail ?

J’ai récemment installé Discourse sur Linux, et un utilisateur m’a contacté par un autre moyen pour me dire qu’il avait essayé de m’envoyer un e-mail via le service de messagerie de Discourse, mais que je n’avais pas répondu. J’ai commencé à explorer la fonction de messagerie pour essayer de comprendre ce qui se passait et, ce faisant, j’ai découvert que je pouvais envoyer un e-mail à n’importe qui sur Internet via le service de messagerie, et pas seulement aux autres utilisateurs. Je considère cela comme un risque de sécurité important, car il semble que n’importe quel utilisateur puisse envoyer un e-mail à n’importe qui et que ce dernier le reçoive depuis l’adresse e-mail de mon serveur Discourse.

Est-ce un comportement prévu et, si oui, existe-t-il un moyen de le modifier ? Ce que je souhaiterais, c’est que les utilisateurs ne puissent envoyer des messages privés qu’à d’autres utilisateurs, et je préférerais qu’ils soient tenus d’utiliser l’identifiant de l’utilisateur plutôt que son adresse e-mail.

J’utilise la version 2.7.0.beta3.

C’est intentionnel, consultez l’annonce : Send a Personal Message to an Email Address

Cela est vrai pour la plupart des plateformes disposant d’un système d’invitation par e-mail. Y a-t-il un risque supplémentaire à utiliser une MP Discourse à la place ?

Vous pouvez désactiver cette fonctionnalité en désactivant le paramètre du site Créer automatiquement des utilisateurs en attente lors du traitement des e-mails entrants (car l’envoi d’un e-mail depuis une MP nécessite la création d’un utilisateur en attente).

Cela désactivera-t-il également la fonction « Inviter », car je souhaite l’utiliser, du moins pour quelqu’un disposant d’une autorité de modérateur ou d’administrateur.

Non, cela n’a pas d’impact sur les e-mails d’invitation, car ceux-ci ne nécessitent pas de réponse.

Merci beaucoup pour votre aide ! Le paramètre fonctionne.