我最近在一台 Linux 服务器上安装了 Discourse。随后,我通过其他渠道收到一位用户的联系,称他尝试通过 Discourse 的消息服务给我发送邮件,但我没有回复。于是我开始测试消息功能,试图弄清楚问题所在。在测试过程中,我发现可以通过该消息服务向互联网上的任意邮箱地址发送邮件,而不仅仅局限于其他 Discourse 用户。我认为这是一个重大的安全风险,因为任何用户似乎都可以向任何人发送邮件,且邮件会显示为来自我的 Discourse 服务器邮箱地址。
这是否是预期行为?如果是,是否有办法更改?我希望用户只能向其他 Discourse 用户发送私信,并且最好要求他们使用对方的用户 ID 而非邮箱地址。
我当前运行的版本是 2.7.0.beta3。