トピックに追加されたユーザーは、そのトピックへの返信通知を受け取った

この問題に気づくに至った一連のステップは以下の通りです:

  • グループ内のユーザーが、Discourse に登録していない人物から送られたメールを、そのグループのアクセス権限で管理されているプライベートカテゴリに転送しました。
  • 「転送されたメールの動作」設定が「返信を作成する」に設定されているため、自動的に新しいトピックが作成され、新規のステージドユーザー(これも自動的に作成)がトピック作成者(OP)となり、グループメンバーがそのメールに対して返信を投稿しました。
  • 上記のステップは想定通りですが、以下のステップは異なります:ステージドユーザーに対して、トピック内の返信投稿の内容を含む「user_replied」タイプのメールが自動的に送信されました。これにより情報が漏洩してしまいます。

ステージドユーザーはグループのメンバーではないため、プライベートカテゴリ内の何らかのメールを受け取るべきではありません(トピックの作成者/OP であるとしても同様です)。

これは、グループの「manage/interaction」にある設定で対応されていると思います:

投稿

このグループへの @メンションを許可するユーザー

このグループへのメッセージ送信を許可するユーザー

ご説明いただいたワークフローは意図的なもので、より広く利用されている可能性もあります。私たちはこれをグループの受信トレイやサポートチャネルとして利用しており、内部のサポート担当者によるプライベートグループへの顧客(フォーラム利用者以外のステージドユーザー)からのメール送信を可能にしています。

もし私なら、「転送されたメールの挙動」設定を確認します。グループの目的に応じて、「引用」または「非表示」を選ぶと良いでしょう。:slight_smile:

グループ設定がここで要因になっているとは考えられません。このメールはプライベートメッセージ(PM)として作成され、メール設定によりメッセージの受信対象がグループに加えてステージングされたユーザーにも拡大されています。

ユーザーが PM の受信対象に含まれているため、その PM トピックに関連するメールを受け取ります。

グループは単にプライベートメッセージの受信者の一種に過ぎません。配布のコンテナや境界線ではありません。

ああ、ここで混乱があることに気づきました。私のミスです。これはグループのプライベートメッセージではありません。

これは、特定のグループのメンバーのみがアクセスできるカテゴリで作成されたトピックでした。元の投稿も更新させてください。

ステージングされたユーザーはカテゴリへのアクセス権限を必要としません。ステージングされたトピックには常にアクセスできます。上記の設定が有効な場合、カテゴリにメールを転送すると、そのトピック内ではステージングされたユーザーと同様に振る舞います。

これは、多くのDiscourseベースのサポートコミュニティが採用している仕組みです。この機能に依存しています。

これは意図した通りに動作しており、情報が漏洩したわけではありません。これらの設定の影響についてご存じなかっただけです。

ああ、これがすべて意図されたものだと仮定して、次にそのトピックへのさらなる返信に対してステージングされたユーザーにメールが届かないようにするにはどうすればよいでしょうか?

ユーザーを削除する必要がありますか?

ユーザーを削除すると、その投稿を匿名化できますが、再発は防げません。

将来的な対策として、メールの解析機能を無効化する、ステージングユーザーを無効化する、または上記の結果を意図しない限り、ユーザーに対してこの行為を避けるよう周知することが有効です。