Любой штукой в которой есть деньги и статус будут пытаться злоупотреблять. Из этого есть практический вывод — если ваш продукт шлёт письма с user generated content, этим рано или поздно воспользуются, чтобы слать спам (точно также как в каждой игре с user generated контентом будут пытаться рисовать пенисы, особенно в играх для более молодой аудитории)

Например за прошедшие годы злодеи пытались у нас слать спам так:

• Создавать новые аккаунты со спам-словом в названии профиля (мы шлём welcome письмо с этим словом)
• Смена email у аккаунта, когда спам-слово уже есть названии профиля (мы шлем письмо, что email сменили)
• Автоматизируют создание новых заказы в фейковом магазине, меняют темплейт письма о создании заказа на спамный (мы шлём письмо “как бы покупателю” о заказе).
• То же самое, но не при создании заказа, а при смене статуса заказа.
• Меняют темплейт письма, используют функцию preview template, чтобы послать себе тестовое письмо. Потом меняют постоянно адрес админа и делают так снова и снова.
• Приглашения staff accounts для управления магазином. В названии магазина — спам-слово, приглашают по спам-листу.

Если с этими штуками не бороться — через вас будут слать спам, что приведёт к падению репутации и недоставке ваших писем, а то и их полной блокировке.

Поэтому приходится вводить защиты — капчи, рейт-лимитинг, проверки, стоп-листы и разные другие более секретные штуки. Это “налог заметного продукта” — люди недооценивают какой процент времени на это тратится.