O raciocínio oficial pode ser muito mais sensato do que o meu, mas o que eu acho é que o SMTP é mantido no arquivo yml porque o e-mail é crítico para o discourse. Você não pode entrar no discourse como administrador sem uma verificação de e-mail válida. Permitir que qualquer pessoa se registre sem qualquer tipo de verificação de e-mail é um risco em si.
Além disso, as pessoas geralmente não alteram suas configurações de SMTP com muita frequência, uma vez que foram definidas. Eu sou administrador de sites que funcionam há mais de 8 anos sem alterações nas configurações de SMTP.