Злоумышленники в основном могут похитить вашу систему активации учетной записи, чтобы спамить чью-либо (или множественную) электронную почту.
Предположительно, они не могут разместить свой собственный контент в таких письмах? Потому что это просто электронная почта активации? Это должно означать, что, кроме «общей неприятности», у людей нет никаких стимулов злоупотреблять ими, как если бы они могли спамить, верно?
Управление потоком данных, то есть ограничение количества попыток регистрации на IP-адрес в час, вероятно, является хорошим способом ограничить нарушителей. После этого идентифицируйте всех серийных нарушителей и заблокируйте их IP-адрес.
Существуют ли более эффективные решения, чем просто установка ограничения грубой силы?
Помимо ограничения, вы можете использовать более щедрое количество «льготных» попыток, чтобы ограничение не применялось до тех пор, пока не истечет это количество льготных попыток.
Например, 5 в день на IP-адрес может быть ограничением, но применять этот предел можно только после того, как кто-то сделает больше 20 в день. Отрегулируйте числа в зависимости от того, что вы считаете «ненормальным» или нет.