メールによる新規トピックの作成機能は、当コミュニティにとって重要です。私たちは、人々が慣れ親しんだメーリングリストベースのワークフローから移行してもらうよう説得を進めているためです。
この機能を容易にするには、メール受信用アドレスを誰もが簡単にアクセスできるようにする必要があります。また、ユーザーのメールアドレスは秘密ではないという事情もあります。多くのユーザーは、当システムのアカウント設定で長年使用しているアドレスをそのまま使っています。一般的に、名刺に載せるような情報は、もともと秘密とはみなされません。
したがって、スパマーやその他の悪意のある actors は、公開されている情報を用いて容易に ID をなりすまし、スレッドを開始できてしまいます。
この状況を防ぐため、新しいトピックのメール受信時に、そのトピックを作成しメッセージを投稿する前に、Discourse がチャレンジメールを送信するようにしたいと考えています(もちろん、有効なユーザーに限ります。無効なユーザーからのメールは単に破棄されます)。ユーザーがチャレンジメールに対して(内容は何でも構いません)正常に返信すると、投稿が承認されます。
(オプションとして、チャレンジメールに確認用 URL を含めることも可能です。)
これにより、単にアドレスをなりすますだけで新しいメッセージを作成することができなくなります。攻撃者は、受信メールを傍受する能力も必要となります。もしその能力を持っているなら、より深刻な問題が存在することになります。