Ho molti utenti che si basano principalmente sulla posta elettronica e che desiderano poter avviare nuovi argomenti tramite email. Ho abilitato la funzione, ma sono preoccupato per il possibile spam generato da email contraffatte (intenzionalmente o per una fortunata coincidenza).
Esiste un modo per permettere questa funzione, ma affinché ogni nuovo argomento invii un messaggio di nuovo all’indirizzo email che sembra averlo originato, chiedendo una risposta per conferma?
Se non hai attivato enable_staged_users, non devi preoccuparti. Se invece è attivo, penso che potresti richiedere l’appartenenza a un gruppo per pubblicare in quelle categorie (ad esempio, tl_2), il che ti proteggerebbe.
L’OP sembra preoccupato meno per i nuovi account spam e più per gli spammer che falsificano le intestazioni email in modo da corrispondere a un account legittimo esistente.
Quindi dovrebbero indovinare sia l’indirizzo da cui inviare alla categoria, sia l’indirizzo email di un utente legittimo. Sembra piuttosto improbabile, anche se immagino che, se l’account email di qualcuno venisse hackerato e l’hacker inviasse un messaggio a tutti i contatti della rubrica, ciò potrebbe accadere.
Sì, esattamente.
Beh, rendiamo pubblico l’indirizzo a cui pubblicare nella categoria, in modo che le persone possano pubblicarci. Inoltre, non è difficile scoprire, ad esempio, il mio indirizzo email, poiché lo uso per comunicare con le persone. Non serve alcun hacking.
Quindi sarebbe più simile a un atto di vandalismo che a spam, dato che si tratterebbe di qualcuno a cui hai inviato una email e che conosce la tua community. Se i server di posta interposti applicano SPF e DMARC, avresti una certa protezione. Inoltre, sei un amministratore, quindi non riceveresti aiuto da Akismet. Potrebbe essere un problema, ma sembra comunque piuttosto improbabile. Immagino che potresti trovare un modo per avere il tuo indirizzo email in Discourse in qualcosa che non sia pubblico.
Tuttavia, si tratterebbe di un attacco piuttosto mirato, sia verso il forum specifico che verso alcuni account utente. Non è qualcosa che mi aspetterei da uno spammer comune.
Forse più fattibile, almeno per lo spam automatizzato casuale, sarebbe che lo spammer eseguisse una sorta di “attacco rainbow” (so che probabilmente questo non è il termine corretto), falsificando molte intestazioni a partire da qualsiasi database di indirizzi email reali che utilizzano come bersaglio per cose come le truffe 419.
Ciò richiederebbe comunque a una persona di:
In realtà, questo sembra richiedere più lavoro rispetto alla gestione di alcuni account fantoccio gestiti da esseri umani…
Dato che siamo una comunità nata nel 2003/2004, abbiamo liste di distribuzione pubbliche. Gli indirizzi delle persone si trovano su quelle liste. Potremmo istruire tutti a registrarsi con un secondo indirizzo email segreto, ma questo creerebbe a sua volta una barriera. Comunque, gli indirizzi email in generale non dovrebbero essere trattati come se fossero segreti.
Non intendo entrare nel merito di classificare gli spammer come comuni o speciali, ma dobbiamo assolutamente preoccuparci di entrambi i casi. In passato abbiamo subito attacchi spam piuttosto dedicati (truffa del supporto QuickBooks, ecc.).
E, senza dare a nessuno idee o altro, ma: sono anche preoccupato per l’impersonificazione malevola non legata allo spam. Il meccanismo proposto permetterebbe di avviare discussioni tramite email (con il piccolo inconveniente di un passaggio in più) senza tale rischio, a meno che l’indirizzo email non venga effettivamente dirottato, nel qual caso ci sarebbero problemi ben più gravi.
Comunque, dalle risposte è chiaro che tale funzionalità non esiste già… Non sto semplicemente trascurando qualcosa. RFE qui: RFE: self-confirmation by autoreply when starting a new topic by email-in
Capisco il tuo punto di vista.
Sembra davvero che possa essere un plug-in:
Nota a margine: se un argomento da te avviato devia rapidamente da una domanda verso una richiesta di funzionalità o plug-in, puoi segnalarlo e chiedere ai moderatori di ricategorizzarlo, invece di aprire un nuovo argomento. In questo modo si mantiene la discussione iniziale sulla motivazione della richiesta in un unico posto. Se in seguito sarà necessario un intervento di pulizia, i moderatori se ne occuperanno.
Un plugin andrebbe bene, anche se siamo sul piano Business ospitato, quindi un plugin arbitrario è più difficile da implementare (e il piano Enterprise supera il mio budget, almeno non prima che diventi la nostra piattaforma principale di comunicazione asincrona. E perché ciò accada, ho assolutamente bisogno di funzionalità compatibili con l’email. Quindi, spero che il team consideri questa idea sensata come una funzionalità core. 