Tengo muchos usuarios que se centran en el correo electrónico y que desean poder iniciar nuevos temas por correo. He habilitado la función ahora, pero me preocupa el posible spam mediante correos falsificados (ya sea intencionalmente o por adivinanza afortunada).
¿Existe alguna forma de permitir esta función, pero que para cada nuevo tema se envíe un mensaje de vuelta a la dirección de correo electrónico que supuestamente lo originó, solicitando una respuesta para confirmar?
Si no tienes enable_staged_users activado, no tienes de qué preocuparte. Si lo tienes activado, creo que podrías exigir que los usuarios sean miembros de un grupo para publicar en esas categorías (por ejemplo, tl_2), lo cual te protegería.
El OP parece estar menos preocupado por las nuevas cuentas de spam y más por los spammers que falsifican los encabezados de correo electrónico para que coincidan con una cuenta legítima y existente.
Así que tendrían que adivinar tanto la dirección para publicar en la categoría como la dirección de correo electrónico de un usuario legítimo. Eso parece bastante improbable, aunque supongo que si la cuenta de correo de alguien es hackeada y el hacker envía un correo a todos los contactos de la libreta de direcciones, eso podría suceder.
Sí, eso.
Bueno, hacemos pública la dirección para publicar en la categoría, para que las personas puedan enviar mensajes a ella. Además, no es difícil descubrir, por ejemplo, mi dirección de correo electrónico, porque la uso para comunicarme con otras personas. No se requiere ningún hackeo.
Así que sería más bien como vandalismo que como spam, ya que se trataría de alguien a quien has enviado un correo y que conoce tu comunidad. Si los servidores de correo intermedios aplican SPF y DMARC, tendrías cierta protección. Además, como eres administrador, no recibirías ayuda de Akismet. Podría ser un problema, pero aún así parece bastante improbable. Supongo que podrías configurar tu dirección de correo en Discourse de manera que no sea pública.
Sin embargo, eso sería un ataque bastante dirigido, tanto al foro en particular como a algunas cuentas de usuario. No es algo que esperaría de un spammer común.
Quizás más viable, al menos para spam automatizado aleatorio, sería que el spammer realizara algo así como un “ataque de arcoíris” (sé que probablemente este no sea el término correcto), suplantando muchas cabeceras desde las bases de datos de direcciones de correo electrónico reales que utilizan como objetivos para cosas como estafas 419.
Aún así, esto requeriría que una persona:
Esto en realidad suena como más trabajo que crear algunas cuentas títere operadas por humanos…
Dado que somos una comunidad fundada en 2003/2004, tenemos listas de correo públicas. Las direcciones de las personas figuran en esas listas. Podríamos pedir a todos que se registren con una segunda dirección de correo electrónico secreta, pero eso en sí mismo sería un obstáculo. De todos modos, las direcciones de correo electrónico no deberían tratarse en general como si fueran secretas.
No voy a entrar en el asunto de clasificar a los spammers como comunes o especiales, pero definitivamente tenemos que preocuparnos por ambos. Hemos sido objeto de ataques de spam bastante dedicados anteriormente (estafa de soporte de QuickBooks, etc.)
Y, sin dar ideas a nadie ni nada por el estilo, pero: también me preocupa la suplantación malintencionada que no sea spam. El mecanismo propuesto permitiría iniciar hilos por correo electrónico (con la pequeña molestia de un paso adicional) sin ese riesgo, a menos que la dirección de correo electrónico sea realmente secuestrada, en cuyo caso habría problemas mayores.
De todos modos, está claro por las respuestas que dicha funcionalidad aún no existe… No es que simplemente me esté perdiendo algo. Solicitud de mejora (RFE) aquí: RFE: self-confirmation by autoreply when starting a new topic by email-in
Entiendo lo que quieres decir.
Esto realmente parece que podría ser un complemento:
Nota lateral: si un tema que has iniciado se desvía rápidamente de una pregunta hacia un territorio de solicitud de función o complemento, puedes marcarlo y pedir a los moderadores que lo recategoricen, en lugar de iniciar un nuevo tema. Esto mantiene la discusión temprana de la motivación detrás de la solicitud en un solo lugar. Si más tarde necesita limpieza, los moderadores se encargarán de ello.
Me vendría bien un complemento, aunque estamos en el plan Business alojado, por lo que un complemento arbitrario es más complicado (y el plan Enterprise supera mis fondos disponibles, al menos no antes de que esto se convierta en nuestra plataforma principal de comunicación asíncrona, y para que eso ocurra, definitivamente necesito funciones compatibles con el correo electrónico. Así que espero que el equipo lo vea como algo razonable para incluirlo como una función principal. 