Pinny’s Simple SMTP – 轻量级 SMTP 邮件发送器

描述

Pinny’s Simple SMTP 是一款超轻量级 SMTP 插件，体积仅有 4KB。它简单易用，高度安全，并包含可靠发送电子邮件所需的所有基本功能。

🚀 30秒极速配置，轻松搞定！

受够了臃肿的设置向导、“连接账号”弹窗，还有没完没了的菜单吗？

Pinny’s Simple SMTP 旨在隐于无形。我们剔除了所有累赘，让您专注真正的工作。
1. 输入邮件主机地址和端口。
2. 输入登录信息。
3. 点击保存。

大功告成。就这么简单。
无需学习复杂的界面，无需管理繁琐的控制台。它是真正的“即设即忘”方案，只管安静、稳定地运行。

与大多数 SMTP 插件（体积通常在 2MB 以上）不同，Pinny’s Simple SMTP 极致轻量，配置简便，且在安全性上绝不妥协。我们确保您的敏感凭据始终受到自动加密的保护——彻底告别明文存储密码。

这款插件与众不同。它比 favicon 还小，兼容任意邮件服务商，只需几秒即可完成配置。

功能特性：

• 极致轻量 (4KB)：这是一款超轻量级的 SMTP 插件，对您的网站速度零影响。
• 加密安全：我们非常重视安全性。您的 SMTP 密码使用 WordPress 原生盐值在数据库中进行加密。我们绝不以明文形式存储凭据。
• 极简设置：无需令人困惑的向导或教程。只需输入您的主机、端口和登录信息，然后点击保存即可。
• 所有基本功能：支持 TLS/SSL、自定义端口、覆盖发件人邮箱/姓名，并包含一键测试邮件工具。
• 零臃肿：无广告、无仪表盘小工具、无使用追踪、无升级推销。
• wp-config 配置模式：为了提高安全性，可在 wp-config.php 中定义 SMTP 设置并锁定后台界面。

⚙️ 高级：通过 wp-config.php 配置 SMTP

Pinny’s Simple SMTP 支持直接通过 wp-config.php 进行配置，使管理员和开发者能够锁定 SMTP 设置，防止在 WordPress 后台进行更改。

启用后，插件会自动将后台界面切换为只读模式。

若要启用此模式，请在您的 wp-config.php 文件中添加以下常量：

define('PINNYS_SMTP_FORCE', true);

define('PINNYS_SMTP_ENABLED', true);
define('PINNYS_SMTP_HOST', 'smtp.gmail.com');
define('PINNYS_SMTP_PORT', 587);
define('PINNYS_SMTP_ENCRYPTION', 'tls');

define('PINNYS_SMTP_AUTH', true);
define('PINNYS_SMTP_USERNAME', '[email protected]');
define('PINNYS_SMTP_PASSWORD', 'your_app_password');

define('PINNYS_SMTP_FROM_EMAIL', '[email protected]');
define('PINNYS_SMTP_FROM_NAME', 'Your Website');

一旦启用了 PINNYS_SMTP_FORCE：

• SMTP 设置从 wp-config.php 加载
• WordPress 设置页面变为只读
• WordPress 后台的修改无法覆盖您的配置

注意：如果未定义 PHP 常量 PINNYS_SMTP_FORCE，插件将正常运行，您可以在 WordPress 后台配置相关设置。

🛡️ “零留存”安全承诺

Pinny’s Simple SMTP 秉持着严苛的安全理念：WordPress 是 CMS，而非邮件归档库。

大多数 SMTP 插件会将您网站发出的每一封邮件都记录到 WordPress 数据库中。这看似方便，实则带来了巨大的安全风险、数据库臃肿以及隐私违规问题。

我们采用零留存架构。我们连接、投递，然后不留痕迹。为什么这样对您更安全：

1. 安全风险（为何我们不留存日志）

将邮件日志存储在您的数据库中，会使其成为黑客的高价值目标。

• 真实“大漏洞”案例：
  在 2024 和 2025 年，主流 SMTP 插件（如 Post SMTP）曝出严重漏洞（CVE-2023-6875 和 CVE-2025-11833）。攻击者可以绕过身份验证，触发密码重置邮件，读取插件记录的邮件日志拿到重置链接，进而接管整个网站。
• 我们的解决方案：既然没有记录，自然无从窃取。通过不保留任何邮件日志，Pinny’s Simple SMTP 从根本上杜绝了这类“账户劫持（盗号）”攻击。

2. 数据库与隐私问题

• 臃肿：事务性日志会无限膨胀。一个繁忙的电商站点每月会发送数千封邮件。将这些数据存储在 wp_options 或自定义数据表中，会拖慢网站运行速度，并让备份文件臃肿不堪。
• GDPR 与隐私：您的数据库不应永久存储客户的 PII（个人身份信息），例如密码重置链接、交易收据或联系表单的私密留言。一旦您的网站遭到入侵，这些日志无异于随时可能泄露的数据隐患。

3. 正确的日志记录方式

如果您需要追踪邮件送达情况，请到它该在的地方：您的邮件服务提供商。

• Gmail / Google Workspace：自带“已发送”文件夹，并提供详尽的发送追踪记录。
• SendGrid / Mailgun / SES：这些服务专为安全存档海量邮件而设计，自带完善的数据清理规则与严格的访问控制。
• Microsoft / Outlook：系统自带“已发送邮件”保存功能。
  Pinny’s Simple SMTP 通过让邮件服务商做好本职工作，使您的 WordPress 数据库保持干净、高效和安全。

🚫 “反臃肿”架构：为何我们坚决摒弃 OAuth

Pinny’s Simple SMTP 基于一项严苛的性能理念而打造：用不到的代码，绝不加载。

业界的通行做法是强制用户使用 OAuth（即“使用 Google / 微软账号登录”）。这看似高大上，但对于 WordPress 插件而言，它在技术上反而不如标准的 SMTP。以下就是我们为何在 Pinny’s 中刻意剔除 OAuth 的原因：

1. “万能适配器”陷阱（代码臃肿）
绝大多数用户只会接入 一个 邮件服务商（比如只用 Gmail）。然而，为了支持 OAuth 验证，其他插件不得不内置 10 到 15 家不同服务商（Google、Microsoft、Amazon、Yahoo、Zoho 等）的庞大 SDK 代码库。

• 结果就是：您安装了数 MB 的第三方代码，就为了发一封简单的邮件。
• 我们的解决方案：Pinny’s 采用标准 SMTP。我们绝不会为了用到第 15 个 API 代码库，就强行把另外 14 个根本用不到的代码库塞进您的服务器。这使得我们的代码体积保持在 仅 ~4KB。

2. 复杂性风险（安全）
在安全领域，复杂性是大忌。OAuth 验证流程涉及重定向、Token（令牌）存储、刷新 Token，还要频繁跟进 API 更新。插件每引入一个第三方代码库，都会扩大“攻击面”——代码越多，漏洞越容易藏身。

• 真实情况：如果插件内置的“Google API 客户端”存在漏洞，您的网站就会面临风险——哪怕您用的是 Outlook。
• 我们的解决方案：我们采用 WordPress 原生函数。零外部依赖。无第三方 SDK。无供应链漏洞。

3. “公用 OAuth 认证”的真相 许多插件都宣传支持 Gmail 或 Microsoft 365 的“一键 OAuth 登录”。为了提供这种便利，免去用户自行创建开发者凭证的麻烦，这些插件通常会通过插件开发者提供的公用 OAuth 应用（客户端 ID 和密钥）来进行身份验证。

这会带来一些潜在风险，包括：

• 共享的 API 调用配额 OAuth 的配额是按这个共享应用来计算的，而不是按你的单个站点。
• 滥用波及 如果其他使用同一 OAuth 应用的站点发送垃圾邮件或违反了服务提供方的政策，服务提供方可能会限制或标记该应用，进而波及所有使用该应用的用户。
• 应用被停用 当这个公用 OAuth 应用被服务提供方停用或限制时，所有使用该应用的站点都会认证失败。
• 依赖开发者服务器 有些插件通过开发者自己的服务器进行 OAuth 认证。一旦该服务器宕机，用户可能就无法绑定账户或刷新认证令牌。
• 维护风险 OAuth 集成需要不断更新 API。如果插件停更且 OAuth 应用无人维护，身份验证迟早会失效。

Pinny’s Simple SMTP 通过使用直接 SMTP 认证，完全避免了这些依赖，让您的网站可以直接与邮件服务器通信，而无需依赖第三方 OAuth 服务。

4. 应用密码：更优的选择
我们采用 应用密码（标准 SMTP 身份验证）。这是服务器端发送邮件的安全推荐做法（适用于 Gmail/Workspace 及 Microsoft 365）。

• 严格限定权限：应用密码通常只拥有发送邮件的权限。与 OAuth 令牌不同（后者有时会被授予过于宽泛的权限），应用密码不能用来修改您的账户设置或读取您的 Drive 文件。
• 一键撤销：如果您怀疑出现安全泄露，可以直接在 Google/Microsoft 后台立刻作废该应用密码，而无需更改主账号的登录密码。
• 零中断：OAuth 令牌会过期，且 API 一旦变动也会导致授权断开。而应用密码只要您不主动撤销，就能一直稳定生效。

Pinny’s Simple SMTP chooses stability over shiny buttons. Enter your Host, Port, and App Password → Save. Done.