La capacidad de iniciar nuevos temas por correo electrónico es fundamental para nuestra comunidad, ya que estamos convenciendo a las personas de que abandonen un flujo de trabajo basado en listas de correo con el que ya están familiarizadas.
Para facilitar esto, necesitamos que la dirección de entrada de correos sea fácilmente accesible. Además, las direcciones de correo electrónico de las personas no son un secreto. Muchos han estado utilizando durante años la dirección que configuraron en nuestro sistema de cuentas. Y, en general, algo que podría aparecer en una tarjeta de visita no es realmente un secreto.
Por lo tanto, los spammers u otros actores maliciosos pueden fácilmente hacerse pasar por una identidad e iniciar hilos utilizando información pública.
Para evitar esta situación, me gustaría que Discourse enviara un correo electrónico de desafío en respuesta a cualquier nuevo tema recibido por correo electrónico antes de crear ese tema y publicar el mensaje. (Por supuesto, solo para usuarios válidos; los inválidos simplemente serían descartados). Cuando el usuario responda con éxito (con cualquier contenido) al correo de desafío, el mensaje se publicará.
(Opcionalmente, el correo de desafío también podría incluir una URL de confirmación).
Esto asegura que no se puedan crear nuevos mensajes simplemente suplantando una dirección; el atacante también necesitaría tener la capacidad de interceptar correos entrantes. Y si tienen eso, hay problemas mucho mayores.