Cargar un archivo .eml crea usuarios no deseados y les envía los MP de otros

Somos un grupo estrictamente privado y debatimos sobre las ventajas de los “patrocinadores”, quienes no están permitidos en el grupo. Utilizamos SSO. Dos de nuestros usuarios intercambiaron un mensaje privado y uno de ellos cargó un archivo .eml (correo electrónico) en el mensaje. El archivo .eml contenía las direcciones de correo electrónico de tres patrocinadores. Discourse detectó esas direcciones, agregó a los patrocinadores como usuarios en estado de espera y, aunque aún estaban en ese estado, les envió por correo electrónico publicaciones posteriores del mensaje privado. Obviamente, esto violó nuestra privacidad.

Para ser justos, yo había habilitado el tipo de archivo de carga permitido como “*”, es decir, permitir todas las cargas. Por defecto, no podrían haber cargado un archivo .eml. Pero, ¿qué pasa con un documento de Word? ¿Escaneará Discourse su contenido en busca de direcciones de correo electrónico y las agregará como usuarios?

Para reproducir el problema:

1. Inicia un mensaje privado
2. Busca un correo electrónico antiguo de tu ex
3. Carga el archivo .eml en el mensaje privado
4. Tu ex ahora es un usuario en estado de espera
5. Continúa el mensaje privado
6. Tu ex recibe correos electrónicos

¿Estás seguro de que el archivo .eml se subió o alguien reenvió un correo electrónico al PM?

No hay ningún manejo especial para archivos subidos que cree usuarios en espera, pero los correos electrónicos entrantes pueden crear usuarios en espera según la configuración de tu sitio. Quizás quieras revisar configuraciones como forwarded_emails_behaviour y enable_staged_users.

Fue un correo entrante:

El correo entrante aparece como un archivo adjunto .eml (?), lo que generó los usuarios provisionales:

image948×518 28.8 KB

Mis configuraciones. Así que voy a desmarcar “habilitar usuarios provisionales”. Estoy seguro de que esa opción tiene algún caso de uso válido.

image510×131 4.54 KB