元伸科技
為什麼網站需要 SMTP 寄信?
老實說,這是我們客戶最常忽略、但出事最痛的一個設定。想像你開了一家店,每次有客人填寫聯絡表單,你卻收不到通知信——這就像在門口放了意見箱,卻忘了定期去開。SMTP(Simple Mail Transfer Protocol) 就是讓網站能自動寄出郵件的「郵差系統」,無論是客戶詢問通知、訂單確認信、還是密碼重設信,都需要透過 SMTP 來傳遞。
實務上跟客戶聊起來,最常聽到的故事是:「我們網站做好半年了,最近才發現都沒收到客戶詢問——原來信全部進垃圾郵件!」這就是因為很多網站預設使用主機內建的 mail() 函式寄信,這種方式寄出的信件經常被歸類為垃圾郵件,甚至根本送不到對方信箱。使用 Gmail 作為 SMTP 伺服器,不但能大幅提升信件送達率,還能免費使用 Google 穩定可靠的郵件基礎設施。對中小企業來說,這幾乎是 CP 值最高的選擇。
Google 密碼認證退場時間軸(重要)
2022 年起 Google 分階段淘汰舊式密碼認證,2025 年 3 月 14 日是硬節點。如果你看到舊文章還在教「開啟 Less Secure Apps」,那已經完全行不通:
| 日期 | 發生的事 |
|---|---|
| 2022-05-30 | Google 公告停止 LSA,Workspace 管理員開始分階段轉換 |
| 2024-09-30 | 消費者 Gmail 帳戶全面下線 Less Secure Apps |
| 2025-03-14 | Basic Authentication 對 SMTP / IMAP / POP 全面禁用(硬節點) |
| 2026 現在 | 只能用 OAuth 2.0 或 App Password;前者適合企業級整合、後者適合一般網站 |
Gmail SMTP 的優勢與限制
選擇 Gmail SMTP 作為網站寄信管道,有幾個明確的好處:
- 高送達率:透過 Google 伺服器寄出的信件,較少被判定為垃圾郵件
- 免費額度:每日約 500 收件人數(一般企業官網綽綽有餘)
- 加密傳輸:支援 TLS 加密,保護信件內容不被攔截
- 穩定可靠:Google 的伺服器幾乎不會停機
不過也有需要注意的地方——我會建議:除非你是大量發送行銷電子報,否則 Gmail SMTP 對中小企業而言完全夠用,沒必要一開始就上 SendGrid、Mailgun 這類付費服務:
| 項目 | 說明 |
|---|---|
| 額度計算 | 按「收件人數」非信件數計算;寄 1 封給 20 人 = 扣 20 額度;rolling 24 小時視窗、非午夜重置 |
| 每日上限 | 免費帳號約 500 收件人/天、Google Workspace 可達 2,000/天 |
| 不適用場景 | 大量行銷電子報(建議改用 Mailchimp、SendGrid 等專業服務) |
| 安全要求 | 2025-03-14 起 Google 全面禁用 Basic Authentication,必須啟用兩步驟驗證 + 應用程式密碼(或走 OAuth 2.0) |
第一步:啟用 Google 兩步驟驗證
兩步驟驗證(2-Step Verification) 是 Google 帳號的安全防護機制,啟用後每次登入除了密碼,還需要透過手機確認身份。這也是產生應用程式密碼的前提條件。
啟用步驟
- 登入你要用來寄信的 Gmail 帳號
- 前往「Google 帳戶」→「安全性」頁面
- 在「登入 Google」區塊中找到「兩步驟驗證」
- 點選「開始使用」,依畫面指示完成手機號碼驗證
- 選擇驗證方式(建議選擇「Google 提示」或「驗證器應用程式」,不要只設 Security Keys,會導致找不到應用程式密碼選項)
- 完成設定後,會看到兩步驟驗證狀態顯示為「開啟」
啟用兩步驟驗證不只是為了設定 SMTP,更是保護帳號安全的基本措施。關於網站資訊安全的完整觀念,建議一併了解。
第二步:產生應用程式密碼(2026 最新 UI)
啟用兩步驟驗證後,就能產生應用程式密碼(App Password)。這組 16 位數的密碼專門給第三方應用程式(如你的網站)使用,不需要每次都通過手機驗證。
2026 最新產生步驟
⚠️ 重要變更:Google 從 2024 年起把 App Passwords 從「登入 Google」區塊移除,不再於一般 Security 頁直接顯示。以下是目前最穩定的路徑:
- 確認兩步驟驗證已啟用(上一步)
- 瀏覽器直接開啟:
https://myaccount.google.com/apppasswords(最快)- 或在 Google 帳戶搜尋框輸入「App passwords」/「應用程式密碼」
- 輸入一個應用程式名稱(例如「公司網站 SMTP」,這是讓你未來好辨識,不影響功能)
- 點選「建立 / Generate」,系統會產生一組 16 位數密碼
- 立即複製並妥善保存這組密碼(關閉視窗後無法再次查看)
這組密碼就是你在網站 SMTP 設定中要填入的「密碼」欄位,不是你的 Gmail 登入密碼。
複製時務必移除空格
Google 產生的密碼會顯示為 4 組分隔格式方便閱讀,例如:abcd efgh ijkl mnop。複製到網站設定時必須移除所有空格,貼成 abcdefghijklmnop 才是正確格式。這是新手卡關的最常見原因。
如果完全看不到 App Passwords 選項
以下 3 種情境 Google 會直接隱藏此功能:
| 情境 | 解決方式 |
|---|---|
| 兩步驟驗證只設 Security Keys(安全金鑰) | 加上「Google 提示」或「驗證器應用程式」當備援 |
| 帳戶啟用了 Advanced Protection(進階保護) | 無法用 App Password,必須改走 OAuth 2.0 |
| Google Workspace 帳戶,管理員關閉此功能 | 聯繫 IT 管理員開啟;或請管理員設定 OAuth 2.0 服務帳號 |
第三步:在網站後台設定 SMTP 參數
取得應用程式密碼後,接下來要在網站後台填入 SMTP 設定。無論你的網站使用 WordPress、Laravel 或其他系統,需要的參數都相同:
| 參數 | 設定值 |
|---|---|
| SMTP 主機 | smtp.gmail.com |
| 連接埠 | 587(TLS)或 465(SSL) |
| 加密方式 | TLS(建議)或 SSL |
| SMTP 帳號 | 你的完整 Gmail 地址(如 yourname@gmail.com) |
| SMTP 密碼 | 上一步產生的 16 位數應用程式密碼(移除空格) |
| 寄件者名稱 | 公司名稱或網站名稱 |
| 寄件者信箱 | 與 SMTP 帳號相同 |
注意事項
- 連接埠建議使用 587 + TLS,這是目前最通用的組合
- 寄件者信箱必須與 SMTP 帳號一致,否則 Gmail 會拒絕寄送
- 設定完成後務必發送測試信確認功能正常,搭配 SSL 加密確保傳輸安全
OAuth 2.0 vs 應用程式密碼:怎麼選?
Google 長期方向是讓所有應用走 OAuth 2.0,App Password 被定位為「給未支援 OAuth 2.0 的舊應用的橋接方案」。怎麼判斷?
| 情境 | 建議方案 | 原因 |
|---|---|---|
| WordPress / Laravel / 老 CMS 直接填 SMTP | 應用程式密碼 | 最簡單、5 分鐘完成;未來仍可用 |
| 有工程師資源的企業整合 / SaaS 產品 | OAuth 2.0 | 主帳號密碼變更不會撤銷授權、細緻權限控制 |
| Google Workspace 企業帳戶、資安合規嚴格 | OAuth 2.0 服務帳號 | 可走管理員授權、留 audit log |
中小企業 90% 的場景:應用程式密碼就夠用,不用過度工程。
常見問題排除
設定過程中可能會遇到一些狀況,以下是最常見的問題與解決方式:
寄信失敗,出現認證錯誤
最常見的原因是填入了 Gmail 登入密碼而非應用程式密碼。請確認你使用的是 16 位數的應用程式密碼,且中間不要有空格(Google 顯示的 abcd efgh ijkl mnop 要複製成 abcdefghijklmnop)。
找不到「應用程式密碼」選項
確認兩步驟驗證是否已成功啟用(且不是只設 Security Keys)。最快的做法是直接開 https://myaccount.google.com/apppasswords。若此 URL 也直接拒絕,代表帳戶啟用了 Advanced Protection,或是 Workspace 被管理員限制——這時需改走 OAuth 2.0。
寄信突然失敗,以前明明正常
最常見的原因:Gmail 主密碼被變更(例如員工離職重設、帳戶安全事件)。主密碼一變更,該帳號底下所有 App Password 會立即失效,需要重新產生並更新網站設定。我們在桃園、龜山的客戶最常踩這個坑——人資那邊重設了離職員工的 Google 密碼,結果整個公司網站突然收不到客戶來信、出貨通知信全失效,常常一週後才發現。建議建立時給明確名稱(如「公司網站 SMTP」),方便日後辨識;也建議用「公司帳號」而非個人帳號發信,避免人事異動的衝擊。
信件寄出但對方收不到
- 檢查對方的垃圾郵件匣
- 確認寄件者信箱沒有拼寫錯誤
- 強烈建議為網域設定 SPF、DKIM、DMARC 記錄:送達率顯著提升
- 若網域每日寄給 Gmail / Yahoo 用戶超過 5,000 封,Google 自 2024 年 2 月起強制要求 SPF + DKIM + DMARC(p=none 或更嚴)+ 一鍵退訂 + spam 率 < 0.3%,否則直接拒收
超過每日寄送限額
免費 Gmail 帳號每天上限約 500 收件人數(記住是按收件人算,寄 1 封給 20 人扣 20)。若網站寄信量較大,建議升級 Google Workspace 或改用專業的郵件服務商。定期做好網站維護與監控,也能及早發現寄信異常。
結語
設定 Gmail SMTP 寄信並不困難,只要依序完成啟用兩步驟驗證、產生應用程式密碼(直接開 myaccount.google.com/apppasswords)、填入 SMTP 參數這三個步驟,你的網站就能穩定地自動寄送各種通知信件。對於中小企業而言,Gmail SMTP 是兼顧成本與可靠性的實用選擇。
三個常被忽略的 2026 關鍵點,記得掌握:
- 複製密碼要移除空格(Google 顯示格式帶空格分組)
- Gmail 主密碼變更會讓 App Password 失效——員工離職或重設密碼時要同步更新網站
- 寄量大 + 網域自寄務必設好 SPF / DKIM / DMARC,2024 年起是 Google / Yahoo 的硬性要求
更多架站實務細節,可以參考網站架設完整攻略。
設定本身不難,難的是上線後出問題時有人能幫你排除。如果想在建置網站時就把郵件功能完整規劃好,或想跟我們聊聊系統建置與客製化網頁設計方案,我們 24 年來協助 3,000+ 企業客戶處理過各種 SMTP 疑難雜症,歡迎打給我們聊聊:
📞 03-366-1000 | 🌐 www.ozchamp.com | 免費諮詢 24hr 回覆
