為什麼 Gmail SMTP 寄信會比網站主機內建功能更好？

Gmail SMTP 透過 Google 伺服器寄信，送達率遠高於主機內建 mail() 函式。主機寄出的信件經常被歸類為垃圾郵件或根本送不到，而 Gmail SMTP 擁有良好信譽，能確保重要通知信順利到達客戶信箱。

設定 Gmail SMTP 一定要啟用兩步驟驗證嗎？

是的。Google 多階段淘汰密碼直接認證：2024 年 9 月 30 日消費者 Gmail 帳戶全面下線 Less Secure Apps；2025 年 3 月 14 日起 Basic Authentication 對所有協定（SMTP / IMAP / POP / CalDAV / CardDAV）完全禁用。現在必須用 OAuth 2.0 或應用程式密碼，而產生應用程式密碼的前提就是啟用兩步驟驗證。

OAuth 2.0 和應用程式密碼該選哪個？

一般中小企業網站（WordPress、Laravel、老 CMS）建議用應用程式密碼，設定最簡單、直接填 SMTP 參數即可。OAuth 2.0 需要開發人員實作 token 換取流程，較適合企業級整合。Google 的立場是把 App Password 定位為「給未支援 OAuth 2.0 的應用的橋接方案」——近期仍可使用，但新開發若有技術資源應優先評估 OAuth 2.0。

Gmail SMTP 有寄信數量限制嗎？

Gmail 的額度是按「收件人數」而非「信件數」計算：免費帳號每日約 500 收件人、Google Workspace 可達 2,000。寄 1 封給 20 人 = 扣 20 額度。額度以 rolling 24 小時計算（非午夜重置），超過會觸發暫時鎖定最長 24 小時。對一般企業聯絡表單、訂單通知足夠，但不適合大量行銷電子報。

應用程式密碼會過期嗎？

App Password 本身不會自動過期，但會在以下情況立即失效：(1) 主帳號 Gmail 密碼變更（最常見的事故原因）、(2) 關閉兩步驟驗證、(3) Google Workspace 管理員撤銷、(4) 在 myaccount.google.com/apppasswords 手動刪除。建議建立時給明確名稱（如「公司網站 SMTP」），並把密碼同步存到密碼管理工具，日後 Gmail 密碼一變更就立刻重新產生並更新網站設定。

應用程式密碼和 Gmail 登入密碼有什麼差別？

應用程式密碼是專門給第三方程式使用的 16 位數密碼，與您平常登入 Gmail 的密碼不同。Google 顯示時會加入空格分組（如 abcd efgh ijkl mnop）方便閱讀，複製到網站設定時必須移除空格。關閉視窗後無法再次查看，務必妥善保存。

Gmail SMTP 設定完成後要如何測試是否正常運作？

建議先透過網站的聯絡表單發送測試信件給自己，確認能正常收到信件且不會被歸類為垃圾郵件。也可以檢查信件標頭資訊，確認是透過 smtp.gmail.com 伺服器寄出。若要寄給 Gmail/Yahoo 用戶的量大（每日超過 5,000 封）請務必設定 SPF + DKIM + DMARC。

Gmail SMTP 寄信設定教學：2026 最新兩步驟驗證與應用程式密碼指南

Gmail SMTP 讓網站自動寄信送達率高於主機內建 mail()。2026 年的正確做法：啟用兩步驟驗證 → 直接前往 myaccount.google.com/apppasswords 產生 16 位數應用程式密碼 → 在網站後台填入 smtp.gmail.com / 587 / TLS。Google 自 2025 年 3 月 14 日起全面停用密碼直接認證，必須用 OAuth 2.0 或 App Password。免費 Gmail 每日約 500「收件人數」額度（rolling 24h 計算，寄給 20 人扣 20），Google Workspace 可達 2,000。

為什麼網站需要 SMTP 寄信？

想像你開了一家店，每次有客人填寫聯絡表單，你卻收不到通知信——這就像在門口放了意見箱，卻忘了定期去開。SMTP（Simple Mail Transfer Protocol） 就是讓網站能自動寄出郵件的「郵差系統」，無論是客戶詢問通知、訂單確認信、還是密碼重設信，都需要透過 SMTP 來傳遞。

許多網站預設使用主機內建的 mail() 函式寄信，但這種方式寄出的信件經常被歸類為垃圾郵件，甚至根本送不到對方信箱。使用 Gmail 作為 SMTP 伺服器，不但能大幅提升信件送達率，還能免費使用 Google 穩定可靠的郵件基礎設施。

Google 密碼認證退場時間軸（重要）

2022 年起 Google 分階段淘汰舊式密碼認證，2025 年 3 月 14 日是硬節點。如果你看到舊文章還在教「開啟 Less Secure Apps」，那已經完全行不通：

日期	發生的事
2022-05-30	Google 公告停止 LSA，Workspace 管理員開始分階段轉換
2024-09-30	消費者 Gmail 帳戶全面下線 Less Secure Apps
2025-03-14	Basic Authentication 對 SMTP / IMAP / POP 全面禁用（硬節點）
2026 現在	只能用 OAuth 2.0 或 App Password；前者適合企業級整合、後者適合一般網站

Gmail SMTP 的優勢與限制

選擇 Gmail SMTP 作為網站寄信管道，有幾個明確的好處：

高送達率：透過 Google 伺服器寄出的信件，較少被判定為垃圾郵件
免費額度：每日約 500 收件人數（一般企業官網綽綽有餘）
加密傳輸：支援 TLS 加密，保護信件內容不被攔截
穩定可靠：Google 的伺服器幾乎不會停機

不過也有需要注意的地方：

項目	說明
額度計算	按「收件人數」非信件數計算；寄 1 封給 20 人 = 扣 20 額度；rolling 24 小時視窗、非午夜重置
每日上限	免費帳號約 500 收件人/天、Google Workspace 可達 2,000/天
不適用場景	大量行銷電子報（建議改用 Mailchimp、SendGrid 等專業服務）
安全要求	2025-03-14 起 Google 全面禁用 Basic Authentication，必須啟用兩步驟驗證 + 應用程式密碼（或走 OAuth 2.0）

Gmail SMTP 設定三步驟流程：啟用兩步驟驗證、產生應用程式密碼、填入網站 SMTP 參數

第一步：啟用 Google 兩步驟驗證

兩步驟驗證（2-Step Verification） 是 Google 帳號的安全防護機制，啟用後每次登入除了密碼，還需要透過手機確認身份。這也是產生應用程式密碼的前提條件。

啟用步驟

登入你要用來寄信的 Gmail 帳號
前往「Google 帳戶」→「安全性」頁面
在「登入 Google」區塊中找到「兩步驟驗證」
點選「開始使用」，依畫面指示完成手機號碼驗證
選擇驗證方式（建議選擇「Google 提示」或「驗證器應用程式」，不要只設 Security Keys，會導致找不到應用程式密碼選項）
完成設定後，會看到兩步驟驗證狀態顯示為「開啟」

啟用兩步驟驗證不只是為了設定 SMTP，更是保護帳號安全的基本措施。關於網站資訊安全的完整觀念，建議一併了解。

第二步：產生應用程式密碼（2026 最新 UI）

啟用兩步驟驗證後，就能產生應用程式密碼（App Password）。這組 16 位數的密碼專門給第三方應用程式（如你的網站）使用，不需要每次都通過手機驗證。

2026 最新產生步驟

⚠️ 重要變更：Google 從 2024 年起把 App Passwords 從「登入 Google」區塊移除，不再於一般 Security 頁直接顯示。以下是目前最穩定的路徑：

確認兩步驟驗證已啟用（上一步）
瀏覽器直接開啟：https://myaccount.google.com/apppasswords（最快）
- 或在 Google 帳戶搜尋框輸入「App passwords」/「應用程式密碼」
輸入一個應用程式名稱（例如「公司網站 SMTP」，這是讓你未來好辨識，不影響功能）
點選「建立 / Generate」，系統會產生一組 16 位數密碼
立即複製並妥善保存這組密碼（關閉視窗後無法再次查看）

這組密碼就是你在網站 SMTP 設定中要填入的「密碼」欄位，不是你的 Gmail 登入密碼。

複製時務必移除空格

Google 產生的密碼會顯示為 4 組分隔格式方便閱讀，例如：abcd efgh ijkl mnop。複製到網站設定時必須移除所有空格，貼成 abcdefghijklmnop 才是正確格式。這是新手卡關的最常見原因。

如果完全看不到 App Passwords 選項

以下 3 種情境 Google 會直接隱藏此功能：

情境	解決方式
兩步驟驗證只設 Security Keys（安全金鑰）	加上「Google 提示」或「驗證器應用程式」當備援
帳戶啟用了 Advanced Protection（進階保護）	無法用 App Password，必須改走 OAuth 2.0
Google Workspace 帳戶，管理員關閉此功能	聯繫 IT 管理員開啟；或請管理員設定 OAuth 2.0 服務帳號

Gmail SMTP 必填參數對照表：主機、連接埠、加密方式、帳號與密碼設定

第三步：在網站後台設定 SMTP 參數

取得應用程式密碼後，接下來要在網站後台填入 SMTP 設定。無論你的網站使用 WordPress、Laravel 或其他系統，需要的參數都相同：

參數	設定值
SMTP 主機	smtp.gmail.com
連接埠	587（TLS）或 465（SSL）
加密方式	TLS（建議）或 SSL
SMTP 帳號	你的完整 Gmail 地址（如 yourname@gmail.com）
SMTP 密碼	上一步產生的 16 位數應用程式密碼（移除空格）
寄件者名稱	公司名稱或網站名稱
寄件者信箱	與 SMTP 帳號相同

注意事項

連接埠建議使用 587 + TLS，這是目前最通用的組合
寄件者信箱必須與 SMTP 帳號一致，否則 Gmail 會拒絕寄送
設定完成後務必發送測試信確認功能正常，搭配 SSL 加密確保傳輸安全

OAuth 2.0 vs 應用程式密碼：怎麼選？

Google 長期方向是讓所有應用走 OAuth 2.0，App Password 被定位為「給未支援 OAuth 2.0 的舊應用的橋接方案」。怎麼判斷？

情境	建議方案	原因
WordPress / Laravel / 老 CMS 直接填 SMTP	應用程式密碼	最簡單、5 分鐘完成；未來仍可用
有工程師資源的企業整合 / SaaS 產品	OAuth 2.0	主帳號密碼變更不會撤銷授權、細緻權限控制
Google Workspace 企業帳戶、資安合規嚴格	OAuth 2.0 服務帳號	可走管理員授權、留 audit log

中小企業 90% 的場景：應用程式密碼就夠用，不用過度工程。

常見問題排除

設定過程中可能會遇到一些狀況，以下是最常見的問題與解決方式：

寄信失敗，出現認證錯誤

最常見的原因是填入了 Gmail 登入密碼而非應用程式密碼。請確認你使用的是 16 位數的應用程式密碼，且中間不要有空格（Google 顯示的 abcd efgh ijkl mnop 要複製成 abcdefghijklmnop）。

找不到「應用程式密碼」選項

確認兩步驟驗證是否已成功啟用（且不是只設 Security Keys）。最快的做法是直接開 https://myaccount.google.com/apppasswords。若此 URL 也直接拒絕，代表帳戶啟用了 Advanced Protection，或是 Workspace 被管理員限制——這時需改走 OAuth 2.0。

寄信突然失敗，以前明明正常

最常見的原因：Gmail 主密碼被變更（例如員工離職重設、帳戶安全事件）。主密碼一變更，該帳號底下所有 App Password 會立即失效，需要重新產生並更新網站設定。建議建立時給明確名稱（如「公司網站 SMTP」），方便日後辨識。

信件寄出但對方收不到

檢查對方的垃圾郵件匣
確認寄件者信箱沒有拼寫錯誤
強烈建議為網域設定 SPF、DKIM、DMARC 記錄：送達率顯著提升
若網域每日寄給 Gmail / Yahoo 用戶超過 5,000 封，Google 自 2024 年 2 月起強制要求 SPF + DKIM + DMARC（p=none 或更嚴）+ 一鍵退訂 + spam 率 < 0.3%，否則直接拒收

超過每日寄送限額

免費 Gmail 帳號每天上限約 500 收件人數（記住是按收件人算，寄 1 封給 20 人扣 20）。若網站寄信量較大，建議升級 Google Workspace 或改用專業的郵件服務商。定期做好網站維護與監控，也能及早發現寄信異常。

常見 Gmail SMTP 設定錯誤與對應解決方案一覽

結語

設定 Gmail SMTP 寄信並不困難，只要依序完成啟用兩步驟驗證、產生應用程式密碼（直接開 myaccount.google.com/apppasswords）、填入 SMTP 參數這三個步驟，你的網站就能穩定地自動寄送各種通知信件。對於中小企業而言，Gmail SMTP 是兼顧成本與可靠性的實用選擇。

三個常被忽略的 2026 關鍵點，記得掌握：

複製密碼要移除空格（Google 顯示格式帶空格分組）
Gmail 主密碼變更會讓 App Password 失效——員工離職或重設密碼時要同步更新網站
寄量大 + 網域自寄務必設好 SPF / DKIM / DMARC，2024 年起是 Google / Yahoo 的硬性要求

更多架站實務細節，可以參考網站架設完整攻略。

如果你希望在建置網站時就把郵件功能完整規劃好，或是需要經驗豐富的團隊協助設定，想了解客製化網頁設計完整方案，歡迎聯繫元伸科技，讓我們為你建立穩定可靠的網站系統。