新しいトピックのユーザーによるメールでの自己確認について?

サポート
1

多くのユーザーがメール中心の活動を行っており、メールで新しいトピックを開始したいと考えています。この機能を現在有効にしていますが、意図的あるいは偶然の一致によるなりすましメールによるスパムの可能性を懸念しています。

この機能を有効にしたまま、新しいトピックが作成されるたびに、一見すると発信元と思われるメールアドレスに対して返信を求めて確認を求めるメッセージを送信することは可能でしょうか?

2

enable_staged_users がオンになっていない場合は、心配する必要はありません。オンになっている場合は、そのカテゴリ(例:tl_2)への投稿にはグループメンバーシップを必須にすることで、保護できると思います。

3

OPは新規スパムアカウントよりも、既存の正当なアカウントと一致するメールヘッダーをスパマーが偽造することに懸念を抱いているように見えます。

4

つまり、カテゴリに投稿するアドレスと、正規ユーザーのメールアドレスの両方を推測する必要があります。これはかなり improbable ですが、もし誰かのメールアカウントがハッキングされ、ハッカーがアドレス帳に登録されている全員にメールを送信した場合、そのようなことが起こり得るかもしれません。

5

その通りです。

実は、カテゴリへの投稿先アドレスは公開されており、誰でも投稿できるようにしています。また、例えば私のメールアドレスも、私たちが人々とコミュニケーションを取る際に使用しているため、ハッキングなしでも簡単に特定できます。

6

つまり、これはスパムというよりは、コミュニティの存在を知っているあなたにメールを送った人物による破壊行為に近いでしょう。もし中継メールサーバーがSPFやDMARCを強制していれば、ある程度の保護は得られます。また、あなたは管理者なので、Akismetからのサポートは受けられません。問題になる可能性はありますが、それでもかなり起こりにくいと思われます。Discourse上であなたのメールアドレスを非公開の場所に設定するという手もあるかもしれません。

7

とはいえ、それはかなり標的を絞った攻撃になりますね。特定のフォーラムと、いくつかのユーザーアカウントを対象としたものです。通常のスパマーがやるようなことではないでしょう。

おそらく、少なくともランダムな自動スパムにとっては、より実行可能なのは、スパマーが「レインボーアタック」のようなことをすることかもしれません(この用語が正しいかどうかはわかりませんが)。419 スキャンなどでターゲットとする実際のメールアドレスのデータベースから、さまざまなヘッダーをスプーフィングする手法です。

それでも、以下の作業を人間が行う必要があります:

  • この攻撃手法があなたのフォーラムに対して理論的に実行可能であると気づくこと
  • メール送信先アドレスを見つけること
  • それらのアドレスのみをターゲットにする自動メール送信ツールをセットアップすること

実際には、人間が運営する偽アカウント(ソックパペット)を運用するよりも手間がかかるように思えますね。

8

私たちは2003年〜2004年に設立されたコミュニティですので、公開メーリングリストを持っています。人々のメールアドレスはそのメーリングリストに記載されています。全員に2番目の秘密のメールアドレスでの登録を依頼することもできますが、それ自体が障壁となります。とにかく、一般的にメールアドレスは秘密扱いされるべきではありません。

スパマーを「一般的」か「特別」かという分類について議論するつもりはありませんが、両方のケースを懸念する必要があります。これまでに、QuickBooks サポート詐欺など、非常に執拗なスパム攻撃を受けたことがあります。

9

念のため余計な誤解を招かないよう付け加えますが、スパム以外の悪意あるなりすましについても懸念しています。提案された仕組みでは、メールからスレッドを開始できるようになります(わずかな手間として追加の手順が必要ですが)。メールアドレスが実際に乗っ取られない限り、そのリスクは生じません。もし乗っ取られた場合は、より深刻な問題が発生することになります。

10

いずれにせよ、回答からそのような機能は既に存在しないことが明確です……単に見落としではありません。RFEはこちら:RFE: self-confirmation by autoreply when starting a new topic by email-in

11

そのご意見、よくわかります。

これはまさにプラグインとして実装できそうですね:

  • メール経由で届く投稿はすべてモデレーションを必須とする
  • プラグインが、投稿ごとに固有の確認リンクを含むメールを送信する
  • リンクがクリックされれば、プラグインが投稿を承認する

補足: 自分が始めたトピックが、質問から機能リクエストやプラグインリクエストの領域へ急速に逸れてしまった場合は、新しいトピックを作成するのではなく、フラグを立ててモデレーターにカテゴリの変更を依頼してください。こうすることで、リクエストの背景にある「動機」に関する初期の議論を一つの場所に集約できます。後で整理が必要になった場合も、モデレーターが対応してくれます。

12

プラグインでも構いませんが、現在はビジネスホストプランを利用しているため、任意のプラグインの導入は困難です(エンタープライズプランは、これが主要な非同期コミュニケーションプラットフォームになるまでの資金が現時点では不足しています)。そのため、まずはメールに親和性のある機能が必要となります。ぜひ、チームの皆様にもコア機能として検討していただければ幸いです。:slight_smile: