我有很多以电子邮件为核心的用户,他们希望通过电子邮件创建新话题。我已经启用了该功能,但担心可能存在通过伪造(无论是故意还是侥幸猜中)的电子邮件地址发送垃圾邮件的风险。
有没有一种方法可以在启用此功能的同时,针对每个新话题向看似发件人的电子邮件地址发送一条消息,要求其回复以进行确认?
如果你没有开启 enable_staged_users,那就不用担心。如果已开启,我认为你可以要求用户必须属于特定群组(例如 tl_2)才能在这些分类中发帖,这样就能起到保护作用。
原帖作者似乎不太担心新的垃圾账号,而更关注垃圾邮件发送者伪造邮件头以匹配合法且已存在的账号。
1 个赞
因此,他们需要猜测要发布到该类别的地址,以及合法用户的电子邮件地址。这似乎相当不可能,不过我猜,如果某人的电子邮件账户被黑客入侵,黑客向通讯录中的所有人发送邮件,这种情况就有可能发生。
是的,就是这样。
嗯,我们向公众公开了向该分类发帖的地址,以便人们可以发帖。而且,要发现我的电子邮件地址并不难,因为我会用它与他人沟通。这并不需要黑客入侵。
所以这更像是恶意破坏而非垃圾邮件,因为对方是你曾发过邮件并了解你社区的人。如果中继邮件服务器强制执行 SPF 和 DMARC 策略,你将获得一定的保护。而且你是管理员,因此无法从 Akismet 获得帮助。这可能会是个问题,但看起来发生的可能性仍然相当低。我想你可以设法将你的电子邮件地址放在 Discourse 中某个非公开的位置。
不过,这将是一次相当有针对性的攻击,针对的是特定论坛以及某些用户账户。这不太可能出自普通垃圾邮件发送者之手。
或许对于随机自动垃圾邮件来说,更可行的方式是垃圾邮件发送者进行某种“彩虹攻击”(我意识到这可能不是正确的术语),利用他们用于 419 诈骗等目标的真实电子邮件地址数据库,伪造大量邮件头。
但这仍然需要有人:
- 意识到这确实是你的论坛在理论上可行的攻击途径;
- 找到邮件提交地址;
- 设置自动发信工具,专门针对这些地址进行攻击。
这听起来甚至比运营一些人工操作的傀儡账户还要费工夫……
由于我们的社区自 2003/2004 年就已建立,我们拥有公开的邮件列表。人们的邮箱地址就列在这些列表中。我们可以建议大家在注册时使用第二个保密的邮箱地址,但这本身也会构成一种障碍。无论如何,邮箱地址在一般情况下本就不应被视为秘密。
我不想对垃圾邮件发送者进行分类,区分他们是普通还是特殊,但我们确实必须同时防范这两类威胁。我们此前就曾遭受过相当顽固的垃圾邮件攻击(例如 QuickBooks 支持诈骗等)。
而且,为了避免给任何人留下可乘之机:我也担心非垃圾邮件性质的恶意冒充。所提出的机制将允许通过电子邮件启动线程(只需多一个步骤,稍有不便),除非电子邮件地址确实被劫持,否则不会有这种风险;而如果地址被劫持,那问题就更严重了。
1 个赞
总之,从回复中可以清楚地看出,此类功能尚不存在……我并非只是遗漏了什么。功能请求在此:RFE: self-confirmation by autoreply when starting a new topic by email-in
我理解你的意思。
这确实看起来可以作为一个插件来实现:
- 所有通过电子邮件收到的帖子都需要审核
- 插件会发送一封包含确认链接的邮件(每个帖子对应一个唯一链接)
- 如果链接被点击,插件将批准该帖子
附注: 如果你发起的话题迅速从问题转向功能或插件请求,你可以标记并请求版主重新分类,而不是开启一个新话题。这样可以将关于该请求动机的早期讨论集中在一个地方。如果后续需要清理,版主会负责处理。
1 个赞
使用插件我也能接受,不过我们目前使用的是商业托管版,随意安装插件会比较困难(而企业版的价格又超出了我的预算,至少在它成为我们主要的异步沟通平台之前是这样。要实现这一点,我确实需要一些对邮件友好的功能。因此,我希望团队能将其视为一个合理的核心功能。
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.