兄弟，先给你敲个警钟：你当前关闭两步验证+开启「低安全性应用访问」的配置，安全风险极高，绝对不能作为长期方案用。

为什么当前配置不安全？ #

• 两步验证是Google账号的核心安全屏障，关掉之后，只要有人拿到你的账号密码，就能直接登录你的邮箱（以及所有关联的Google服务），完全没有额外验证门槛。
• 「低安全性应用访问」本质是允许不支持现代安全认证（比如OAuth2）的应用，直接用账号密码登录Google服务。Google早就把这个功能标记为“不安全”，而且正在逐步淘汰它。这种方式很容易成为暴力破解、钓鱼攻击的目标，一旦密码泄露，你的邮件、Drive、Docs等所有关联服务都会陷入危险。

更安全的替代方案（按推荐程度排序） #

1. 使用Google应用专用密码（App Passwords）——最优解

如果你想保留两步验证的安全保障，这是最方便的替代方式。应用专用密码是Google给开启了两步验证的用户提供的一次性、应用专属的16位密码，专门给Flask-Mail这类不支持OAuth2的应用使用，不需要开启低安全访问。

• 操作步骤：
  • 登录你的Google账号，进入「安全」设置页面
  • 找到「应用专用密码」选项（必须先开启两步验证才会显示）
  • 选择应用类型为「邮件」，设备可以选「其他」并自定义名称（比如“Flask-Mail批量组件”）
  • 生成密码后，把这个16位密码填到Flask-Mail的MAIL_PASSWORD配置项里，替换原来的主密码即可
• 优势：主密码不会暴露给应用，即使这个专用密码泄露，也只能访问你的邮件服务，而且你可以随时在Google安全设置里撤销这个密码，完全不影响主账号的安全。

2. 切换到OAuth2认证——更现代的安全方式

Flask-Mail原生不支持OAuth2，但可以通过扩展或自定义代码实现。比如用flask-mail-oauth2扩展，或者结合Google的OAuth2客户端库来处理认证流程。

• 核心思路：
  • 在Google Cloud Console创建一个项目，启用Gmail API
  • 创建OAuth2客户端ID（选择「桌面应用」类型即可，因为是后台服务）
  • 获取刷新令牌，之后你的Flask应用可以用这个刷新令牌定期获取短期的访问令牌，用访问令牌来发送邮件
• 优势：完全不需要使用账号密码，所有认证都基于令牌，访问令牌有过期时间（默认1小时），即使泄露也不会造成长期风险。唯一的缺点是配置比应用专用密码稍微复杂一点，但安全性拉满。

3. 改用第三方交易邮件服务

如果不想折腾Google的配置，也可以换成专门的批量邮件服务，比如SendGrid、Mailgun、Postmark这些。它们都提供SMTP接口，而且用API密钥进行认证，不需要关闭任何安全设置，同时还能提供邮件投递追踪、反垃圾邮件优化、批量发送限额提升等功能，非常适合批量邮件场景。

• 举个SendGrid的配置例子：
  • 设置MAIL_SERVER = 'smtp.sendgrid.net'
  • 设置MAIL_USERNAME = 'apikey'
  • 设置MAIL_PASSWORD = '你的SendGrid API密钥'
  • 其他Flask-Mail配置（端口、加密方式）按服务商要求调整即可

总结 #

别再用低安全访问的配置了，优先选应用专用密码，既安全又方便；如果追求更高级的安全，就搞OAuth2；要是想省心，直接换第三方邮件服务也行。

内容的提问来源于stack exchange，提问作者Feyzi Bagirov