Mensagens pessoais podem ser enviadas para endereços de e-mail?

Recentemente instalei o Discourse no Linux e recebi um contato de um usuário por outro meio, relatando que tentou me enviar um e-mail por meio do serviço de mensagens do Discourse, mas que não obtive resposta. Comecei a explorar a função de mensagens para tentar entender o que estava acontecendo e, ao fazê-lo, descobri que era possível enviar um e-mail para qualquer pessoa na internet que eu quisesse, usando o serviço de mensagens, e não apenas para outros usuários. Considero isso um grande risco de segurança, pois parece que qualquer usuário poderia enviar e-mails para qualquer pessoa, e eles receberiam o e-mail do endereço de e-mail do meu servidor Discourse.

Esse é o comportamento esperado? Se for, existe alguma maneira de alterá-lo? O que eu gostaria é que os usuários pudessem enviar mensagens privadas apenas para outros usuários, e preferiria que fosse exigido o uso do ID do usuário do destinatário, em vez do endereço de e-mail.

Estou executando a versão 2.7.0.beta3.

Isso é intencional, veja o anúncio: Send a Personal Message to an Email Address

Isso é verdade na maioria das plataformas que possuem um sistema de convite por e-mail. Existe algum risco adicional ao usar uma MP do Discourse?

Você pode desativar o recurso desligando a configuração do site Criar automaticamente usuários em estágio ao processar e-mails recebidos (pois enviar um e-mail a partir de uma MP exige a criação de um usuário em estágio).

Isso também desativará a função de ‘convidar’, já que eu quero usá-la, pelo menos para alguém com autoridade de moderador ou administrador.

Não, isso não impacta os e-mails de convite, pois eles não exigem resposta.

Muito obrigado pela ajuda! A configuração funciona.