J’ai de nombreux utilisateurs centrés sur l’e-mail qui souhaitent pouvoir démarrer de nouveaux sujets par e-mail. J’ai activé cette fonctionnalité, mais je m’inquiète des risques de spam via des e-mails usurpés (intentionnellement ou par simple chance).
Existe-t-il un moyen d’activer cette fonctionnalité tout en envoyant un message de retour à l’adresse e-mail d’origine apparente pour demander une réponse de confirmation ?
Si vous n’avez pas activé enable_staged_users, alors vous n’avez pas à vous inquiéter. Si vous l’avez activé, je pense que vous pourriez exiger une appartenance à un groupe pour publier dans ces catégories (par exemple, tl_2), ce qui vous protégerait.
L’OP semble moins préoccupé par les nouveaux comptes de spam et davantage par le fait que des spammeurs falsifient les en-têtes d’e-mail pour qu’ils correspondent à un compte légitime et existant.
Donc, ils devraient deviner à la fois l’adresse pour poster dans la catégorie et l’adresse e-mail d’un utilisateur légitime. Cela semble assez improbable, bien que je suppose que si le compte e-mail de quelqu’un était piraté et que le pirate envoyait un e-mail à tous les contacts de son carnet d’adresses, cela pourrait arriver.
Oui, c’est ça.
Eh bien, nous rendons l’adresse pour publier dans la catégorie publique afin que les gens puissent y publier. Et, il n’est pas difficile de découvrir, par exemple, mon adresse e-mail, car je l’utilise pour communiquer avec des gens. Aucun piratage n’est nécessaire.
Ce serait donc plus du vandalisme que du spam, car il s’agirait de quelqu’un à qui vous avez envoyé un courriel et qui connaît votre communauté. Si les serveurs de messagerie intermédiaires appliquent SPF et DMARC, vous aurez une certaine protection. Et comme vous êtes administrateur, vous ne bénéficierez pas de l’aide d’Akismet. Cela pourrait poser problème, mais cela semble encore assez improbable. Je suppose que vous pourriez trouver un moyen de faire figurer votre adresse e-mail dans Discourse dans un endroit qui n’est pas public.
Cependant, ce serait une attaque assez ciblée, visant à la fois le forum spécifique et certains comptes utilisateurs. Ce n’est pas quelque chose que j’attendrais d’un spammeur ordinaire.
Peut-être plus viable, du moins pour le spam automatisé aléatoire, serait que le spammeur mène une sorte d’« attaque par arc-en-ciel » (je suis conscient que ce n’est probablement pas le bon terme), en falsifiant de nombreux en-têtes à partir des bases de données d’adresses e-mail réelles qu’ils utilisent comme cibles pour des arnaques de type 419.
Cela nécessiterait toujours qu’une personne :
Cela ressemble en fait à plus de travail que de gérer quelques comptes marionnettes gérés par des humains…
Comme nous sommes une communauté existant depuis 2003/2004, nous disposons de listes de diffusion publiques. Les adresses des membres figurent sur ces listes. Nous pourrions demander à tous de s’inscrire avec une deuxième adresse électronique secrète, mais cela constituerait déjà une barrière en soi. Quoi qu’il en soit, les adresses électroniques ne devraient généralement pas être considérées comme secrètes.
Je ne vais pas entrer dans le détail de la classification des spammeurs en ordinaires ou spéciaux, mais nous devons assurément nous préoccuper des deux cas. Nous avons déjà été la cible d’attaques de spam très déterminées (arnaque au support QuickBooks, etc.).
Et, sans donner à personne des idées ou quoi que ce soit, mais : je suis aussi inquiet de l’usurpation d’identité malveillante non liée au spam. Le mécanisme proposé permettrait de démarrer des discussions par e-mail (avec une légère contrainte d’une étape supplémentaire) sans ce risque, sauf si l’adresse e-mail est effectivement piratée, auquel cas il y a des problèmes bien plus graves.
En tout cas, il est clair d’après les réponses qu’une telle fonctionnalité n’existe pas encore… Ce n’est pas que j’aurais simplement manqué quelque chose. Proposition de fonctionnalité ici : RFE: self-confirmation by autoreply when starting a new topic by email-in
Je comprends tout à fait ce que tu veux dire.
Cela ressemble vraiment à quelque chose qui pourrait être un plugin :
Note : si un sujet que tu as initié dévie rapidement d’une question vers une demande de fonctionnalité ou de plugin, tu peux signaler le message et demander aux modérateurs de le reclasser, plutôt que de créer un nouveau sujet. Cela permet de garder la discussion préliminaire sur la motivation de la demande au même endroit. Si un nettoyage est nécessaire plus tard, les modérateurs s’en chargeront.
Un plugin me conviendrait, bien que nous soyons sur le plan hébergé Business, ce qui rend l’ajout d’un plugin arbitraire plus difficile (et le plan Entreprise dépasse mon budget, du moins pas avant que cela ne devienne notre principale plateforme de communication asynchrone. Pour que cela se produise, j’ai absolument besoin de fonctionnalités compatibles avec les e-mails. J’espère donc que l’équipe considérera cela comme une fonctionnalité centrale logique. 