Ich habe viele Nutzer, die stark auf E-Mail angewiesen sind und neue Themen per E-Mail starten möchten. Ich habe die Funktion jetzt aktiviert, bin aber besorgt über potenziellen Spam durch gefälschte (entweder absichtlich oder durch Zufall erratene) E-Mail-Adressen.
Gibt es eine Möglichkeit, diese Funktion zu aktivieren, sodass für jedes neue Thema eine Nachricht an die vermeintlich absendende E-Mail-Adresse gesendet wird, die um eine Antwort zur Bestätigung bittet?
Wenn enable_staged_users nicht aktiviert ist, müssen Sie sich keine Sorgen machen. Wenn es jedoch aktiviert ist, können Sie meiner Meinung nach die Gruppenmitgliedschaft für das Posten in diesen Kategorien (z. B. tl_2) erforderlich machen, was Sie schützen würde.
Der OP scheint sich weniger um neue Spam-Konten zu sorgen, sondern vielmehr darum, dass Spammer E-Mail-Header fälschen, die mit einem legitimen, bestehenden Konto übereinstimmen.
Daher müssten sie sowohl die Adresse erraten, an die in der Kategorie gepostet werden muss, als auch die E-Mail-Adresse eines legitimen Benutzers. Das scheint ziemlich unwahrscheinlich, obwohl ich zugebe, dass dies passieren könnte, wenn jemandem sein E-Mail-Konto gehackt wurde und der Hacker eine E-Mail an alle Kontakte im Adressbuch gesendet hat.
Ja, genau das.
Nun, wir machen die Adresse zum Posten in die Kategorie öffentlich, damit Leute dort posten können. Und es ist nicht schwer, z. B. meine E-Mail-Adresse herauszufinden, da ich sie zur Kommunikation mit anderen nutze. Kein Hacken erforderlich.
Das wäre also eher Vandalismus als Spam, da es sich um jemanden handeln würde, den Sie per E-Mail kontaktiert haben und der von Ihrer Community weiß. Wenn intervenierende Mailserver SPF und DMARC durchsetzen, hätten Sie einen gewissen Schutz. Und da Sie ein Administrator sind, würden Sie keine Hilfe von Akismet erhalten. Es könnte ein Problem sein, scheint aber immer noch ziemlich unwahrscheinlich. Ich schätze, Sie könnten es so einrichten, dass Ihre E-Mail-Adresse in Discourse etwas ist, das nicht öffentlich ist.
Das wäre jedoch ein recht gezielter Angriff – sowohl auf das spezifische Forum als auch auf einige Benutzerkonten. Nicht etwas, das man von einem gewöhnlichen Spammer erwarten würde.
Vielleicht praktikabler, zumindest für zufälligen automatisierten Spam, wäre es, wenn der Spammer eine Art „Rainbow-Angriff
Da wir eine Community sind, die auf die Jahre 2003/2004 zurückgeht, verfügen wir über öffentliche Mailinglisten. Die Adressen der Nutzerinnen und Nutzer sind in diesen Listen verzeichnet. Wir könnten zwar alle auffordern, sich mit einer zweiten, geheimen E-Mail-Adresse anzumelden, doch das wäre bereits ein eigenes Hindernis. Übrigens sollten E-Mail-Adressen im Allgemeinen nicht als geheim behandelt werden.
Ich werde mich nicht darauf einlassen, Spammer als gewöhnlich oder besonders einzustufen, aber wir müssen uns definitiv um beide Fälle sorgen. Wir waren bereits mehrfach gezielten Spam-Angriffen ausgesetzt (z. B. QuickBooks-Support-Betrug, usw.).
Und, um niemanden auf Ideen zu bringen oder so: Ich mache mir auch Sorgen über böswillige Nachahmung, die kein Spam ist. Der vorgeschlagene Mechanismus würde es ermöglichen, Threads per E-Mail zu starten (mit dem kleinen Umstand eines zusätzlichen Schritts), ohne dieses Risiko, es sei denn, die E-Mail-Adresse wird tatsächlich gehackt, was dann größere Probleme mit sich bringt.
Wie die Antworten deutlich machen, existiert eine solche Funktionalität ohnehin noch nicht – es liegt also nicht daran, dass ich etwas übersehen habe. Hier ist der RFE-Link: RFE: self-confirmation by autoreply when starting a new topic by email-in
Ich verstehe, was du meinst.
Das fühlt sich wirklich an wie ein Plugin:
Nebenhinweis: Wenn ein von dir gestartetes Thema schnell von einer Frage in den Bereich von Funktions- oder Plugin-Anfragen abdriftet, kannst du es markieren und die Moderatoren bitten, es umzukategorisieren, anstatt ein neues Thema zu eröffnen. So bleibt die frühe Diskussion über die Motivation für die Anfrage an einem Ort. Falls später eine Bereinigung nötig ist, kümmern sich die Moderatoren darum.
Ein Plugin wäre für mich in Ordnung, aber da wir den Business-Hosted-Plan nutzen, ist ein beliebiges Plugin schwieriger umzusetzen (und der Enterprise-Plan ist mehr, als ich derzeit finanzieren kann – zumindest nicht, bevor dies unsere primäre Plattform für asynchrone Kommunikation wird. Damit das passiert, brauche ich definitiv Funktionen, die für die E-Mail-Nutzung geeignet sind. Daher hoffe ich, dass das Team dies als sinnvolle Kernfunktion betrachtet. 