Aqui estão os passos que ocorreram em sequência e que me levaram a descobrir este problema:
Um usuário de um grupo encaminhou um e-mail para uma categoria privada (cujo acesso é controlado por esse grupo) de alguém que não está no nosso Discourse.
Como tenho a configuração “comportamento de e-mails encaminhados” definida para “criar respostas”, um novo tópico foi criado automaticamente com o OP por um novo usuário em estágio (também criado automaticamente) e uma postagem de resposta pelo membro do grupo, ambos a partir do único e-mail enviado pelo membro.
Os passos acima são como esperado, mas este não: o usuário em estágio recebeu automaticamente um e-mail do tipo “user_replied” com o conteúdo da postagem de resposta no tópico! Isso resulta em vazamento de informações.
O usuário em estágio não é membro do grupo e, portanto, não deve receber e-mails de nada na categoria privada (mesmo sendo o dono do tópico/OP).
Acho que isso é coberto nas configurações do seu grupo em manage/interaction:
Postagem
Quem pode @mencionar este grupo?
Quem pode enviar mensagens para este grupo?
O fluxo de trabalho que você descreveu é intencional e provavelmente é usado de forma mais ampla; nós o usamos como uma caixa de entrada de grupo/canal de suporte, o que exige que usuários em fase de teste (pessoas que não são do fórum, como clientes) possam enviar e-mails para um grupo privado usado por pessoas de suporte interno.
Se eu fosse você, olharia a configuração comportamento de e-mails encaminhados. Você talvez queira “citar” ou “ocultar”, dependendo do propósito do seu grupo.
Não acho que as configurações do grupo sejam um fator aqui. O e-mail é criado como uma MP e as configurações de e-mail expandiram o público da mensagem para o grupo MAIS o usuário em staging.
Como o usuário faz parte do público da MP, ele receberá e-mails relacionados a esse tópico de MP.
Grupos são apenas um tipo de destinatário para uma mensagem privada. Eles não são um contêiner ou uma fronteira para sua distribuição.
Usuários em estágio não precisam de permissão para acessar uma categoria; eles sempre terão acesso aos tópicos para os quais foram colocados em estágio. Se você encaminhar um e-mail para uma categoria e as configurações acima estiverem habilitadas, eles se comportarão como usuários em estágio dentro desse tópico.
É assim que muitas comunidades de suporte baseadas no Discourse funcionam. Elas dependem desse recurso.
O sistema está funcionando conforme o previsto. Nenhuma informação foi vazada; você simplesmente não estava ciente das implicações dessas configurações.
Se você excluir o usuário, pode anonimizar suas publicações, mas isso não impede que o problema se repita.
Para evitar isso no futuro, você pode desativar a análise de e-mails, desativar usuários em estágio ou orientar seus usuários a não fazerem isso, a menos que estejam cientes das consequências mencionadas acima.
