Недавно я установил Discourse на Linux, и ко мне обратился один пользователь другим способом, сообщив, что пытался отправить мне письмо через службу сообщений в Discourse, но я не ответил. Я начал экспериментировать с функцией сообщений, чтобы понять, что происходит, и обнаружил, что могу отправлять электронные письма любому человеку в интернете через эту службу, а не только другим пользователям. Я считаю, что это серьезный риск для безопасности, поскольку, похоже, любой пользователь может отправлять письма кому угодно, и они будут получены с адреса электронной почты моего сервера Discourse.
Это ожидаемое поведение? Если да, то можно ли его изменить? Я хотел бы, чтобы пользователи могли отправлять личные сообщения только другим пользователям, и предпочел бы, чтобы для этого требовался идентификатор пользователя (userid) получателя, а не его адрес электронной почты.
Это верно для большинства платформ, имеющих систему приглашений по электронной почте. Есть ли какие-либо дополнительные риски при использовании личных сообщений (PM) в Discourse?
Вы можете отключить эту функцию, выключив настройку сайта «Автоматически создавать временных пользователей при обработке входящих писем» (поскольку отправка письма из личного сообщения требует создания временного пользователя).