Carregar arquivo .eml cria usuários indesejados e envia PMs de terceiros

Somos um grupo estritamente privado e discutimos os méritos de “patrocinadores”, que não são permitidos no grupo. Utilizamos SSO. Dois de nossos usuários trocaram mensagens privadas, e um deles enviou um arquivo .eml (e-mail) por meio da mensagem privada. O arquivo .eml continha os endereços de e-mail de três patrocinadores. O Discourse detectou os endereços de e-mail, adicionou os patrocinadores como usuários em fase de preparação e — mesmo estando ainda nessa fase — enviou por e-mail aos patrocinadores as mensagens subsequentes da conversa privada. Obviamente, isso violou nossa privacidade.

Para ser justo, eu havia liberado os tipos de arquivo permitidos para upload como “*”, ou seja, permitir todos os uploads. Por padrão, eles não poderiam ter enviado um arquivo .eml. Mas e quanto a um documento do Word? O Discourse o escaneará em busca de endereços de e-mail e os adicionará como usuários?

Para reproduzir:

1. Inicie uma mensagem privada
2. Encontre um e-mail antigo do seu ex
3. Envie o arquivo .eml na mensagem privada
4. Seu ex agora é um usuário em fase de preparação
5. Continue a conversa na mensagem privada
6. Seu ex receberá e-mails

Você tem certeza de que o arquivo .eml foi carregado ou alguém encaminhou um e-mail para o PM?

Não há nenhum tratamento especial para arquivos carregados que crie usuários em estágio, mas e-mails recebidos podem criar usuários em estágio, dependendo das configurações do seu site. Talvez você queira verificar configurações como forwarded_emails_behaviour e enable_staged_users.

Foi um e-mail recebido:

O e-mail recebido aparece como um anexo eml(?) que criou os usuários em estágio:

image948×518 28.8 KB

Minhas configurações. Então, vou desmarcar “ativar usuários em estágio”. Tenho certeza de que existe algum caso de uso válido para essa opção.

image510×131 4.54 KB