Вот шаги, которые произошли последовательно и привели к обнаружению этой проблемы:
Пользователь из группы переслал письмо от человека, не являющегося участником нашего Discourse, в частную категорию (доступ к которой контролируется этой группой).
Поскольку у меня настройка «поведение при пересылке писем» установлена на «создание ответов», автоматически была создана новая тема с первым сообщением (OP) от нового пользователя в режиме ожидания (также созданного автоматически) и ответным сообщением от участника группы. Оба сообщения были сгенерированы на основе одного письма, отправленного участником.
Вышеописанные шаги ожидаемы, но следующий шаг — нет: пользователю в режиме ожидания автоматически было отправлено письмо типа «user_replied» с содержимым ответного сообщения в теме! Это приводит к утечке информации.
Пользователь в режиме ожидания не является членом группы, поэтому ему не должны отправляться письма, связанные с чем-либо в частной категории (даже если он является владельцем темы/автором первого сообщения).
Думаю, это настраивается в разделе «Настройки» вашей группы по адресу manage/interaction:
Публикация
Кто может упоминать эту группу?
Кто может писать сообщения в эту группу?
Описанный вами рабочий процесс является намеренным и, вероятно, используется довольно широко; мы применяем его как почтовый ящик группы или канал поддержки, что требует возможности для внешних пользователей (не участников форума, например клиентов) отправлять письма в закрытую группу, используемую внутренней службой поддержки.
На вашем месте я бы обратил внимание на настройку «Поведение при пересылке писем». В зависимости от назначения вашей группы, вам, возможно, подойдёт вариант «Цитировать» или «Скрыть».
Я не думаю, что настройки группы являются здесь фактором. Письмо создается как личное сообщение (PM), а настройки электронной почты расширяют аудиторию сообщения до группы ПЛЮС запланированного пользователя.
Поскольку пользователь входит в аудиторию PM, он будет получать письма, связанные с этой темой PM.
Группы — это лишь один из типов получателей для личного сообщения. Они не являются контейнером или границей для его распространения.
Пользователи в стадии тестирования не нуждаются в разрешении для доступа к категории — у них всегда будет доступ к темам, в которые они добавлены. Если вы пересылаете электронное письмо в категорию и вышеуказанные настройки включены, они будут вести себя как пользователи в стадии тестирования в рамках этой темы.
Так работают многие дискуссионные сообщества поддержки. Они полагаются на эту функцию.
Система работает как задумано, никакой информации не утекло — вы просто не были осведомлены о последствиях этих настроек.
Ага. Если всё это действительно задумано, как теперь убедиться, что добавленный пользователь не будет получать письма с дальнейшими ответами в этой теме?
Если вы удалите пользователя, вы сможете обезличить его сообщения, но это не предотвратит повторение ситуации.
Чтобы решить проблему на будущее, вы можете отключить парсинг электронной почты, отключить создание пользователей в режиме ожидания или проинформировать пользователей о том, что не следует делать этого, если они не готовы к такому исходу.
