Hochladen einer .eml-Datei erstellt unerwünschte Benutzer und sendet ihnen private Nachrichten anderer

Wir sind eine streng private Gruppe und diskutieren über die Vor- und Nachteile von „Sponsoren“, die nicht in der Gruppe erlaubt sind. Wir nutzen SSO. Zwei unserer Nutzer hatten eine private Nachricht, und einer lud eine EML-Datei (E-Mail) in die PN hoch. Die EML-Datei enthielt die E-Mail-Adressen von drei Sponsoren. Discourse erkannte die E-Mail-Adressen, fügte die Sponsoren als gestaffelte Benutzer hinzu und – obwohl sie noch gestaffelt waren – versandte E-Mails an die Sponsoren mit nachfolgenden Beiträgen aus der PN. Offensichtlich wurde dadurch unsere Privatsphäre verletzt.

Um fair zu sein: Ich hatte die erlaubten Dateitypen für Uploads auf „*“ gesetzt, also alle Uploads erlaubt. Standardmäßig hätten sie keine EML-Datei hochladen können. Aber wie sieht es mit einem Word-Dokument aus? Wird Discourse dies nach E-Mail-Adressen durchsuchen und diese als Benutzer hinzufügen?

So lässt sich das Problem reproduzieren:

1. Starten Sie eine PN
2. Suchen Sie eine alte E-Mail von Ihrem Ex
3. Laden Sie die EML-Datei in die PN hoch
4. Ihr Ex ist nun ein gestaffelter Benutzer
5. Setzen Sie die PN fort
6. Ihr Ex erhält E-Mails

Bist du sicher, dass die .eml-Datei hochgeladen wurde, oder hat jemand eine E-Mail an den PM weitergeleitet?

Es gibt keine spezielle Verarbeitung für hochgeladene Dateien, die gestaffelte Benutzer erstellt, aber eingehende E-Mails können je nach deinen Site-Einstellungen gestaffelte Benutzer erstellen. Du solltest dir Einstellungen wie forwarded_emails_behaviour und enable_staged_users ansehen.

Es war eine eingehende E-Mail:

Die eingehende E-Mail wird als .eml-Anhang (?) angezeigt, was die gestaffelten Benutzer erstellt hat:

image948×518 28.8 KB

Meine Einstellungen. Ich werde also “gestaffelte Benutzer aktivieren” deaktivieren. Ich bin mir sicher, dass es für diese Option einen gültigen Anwendungsfall gibt.

image510×131 4.54 KB