功能定位：为什么要在密码到期前发邮件

SafeW 安全域（Secure Domain）把身份、设备、会话三要素打包成可复用的策略单元，密码到期前邮件提醒是其中一条可独立开关的身份生命周期钩子。它的设计初衷并非“让用户改密”，而是提前把人力不可控的突发锁号转化为可计划的运维工单，降低外包、客服、海外同事因时差导致的 SLA 超时风险。

与 AD 域的“密码过期通知”不同，SafeW 的提醒逻辑运行在云端身份代理层，不依赖本地 GPO，因此即使员工在家用个人电脑，只要通过 SafeW 登录，就能收到通知。也正因为脱离本地域控，一旦配置过度频繁，可能把邮箱当 DoS 靶子——理解边界比会操作更重要。

版本差异：v5.2 之前与 v5.3 之后的策略模型

截至当前的最新版本（v5.3.1），SafeW 把密码策略拆成两套引擎：Legacy Engine（≤v5.1）与Universal Policy Engine（≥v5.2）。Legacy 仅支持“固定 7 天前提醒”，不可改天数、不可加例外；Universal 支持阶梯提醒、例外组、国密短信通道。若租户是 2025 年之前开通且从未手动迁移，控制台会显示“兼容模式”小黄条，必须先点“迁移”才能看到下文全部菜单。

迁移不可逆，但会继承原密码有效期天数；迁移后旧 API（/legacy/v1/password/policy）被重定向到新端点，若贵司有自研 AD 同步脚本，需把路径中的“legacy”去掉即可，无需改参数名。

开启路径：控制台最短入口（分平台）

桌面端（Admin Console Web）

登录 https://admin.safew.io → 左侧导航 安全域 → 选中目标域 → 身份策略 → 密码生命周期。
把“启用密码到期提醒”开关置为 ON，下方出现“提醒时间轴”卡片。
在“邮件通道”下拉框选择：默认 SafeW 中继（无额外费用，限 200 封/天）或自定义 SMTP（需先在外部集成页验权）。
点击“添加提醒节点”，输入天数（支持小数，如 3.5 天），选择语言模板（简体中文、繁體中文、English、Deutsch）。
点右上角“保存”→ 在弹窗里输入 MFA 码 → 30 秒内策略下发完毕，终端下次新建会话生效，已在线会话不踢出。

移动端（SafeW Admin App，≥v5.3）

打开 App → 切换到底栏“工作空间”→ 点右上角 ⚙️ → 安全域。
进入“身份策略”→ 如果列表过长，可在顶部搜索框输入“密码”快速过滤。
后续步骤与桌面端一致，但自定义 SMTP 密码输入框会被系统键盘遮挡，建议横屏或到外接键盘模式填写。

例外策略：让某些账号永不收提醒

外包、机器人、API 服务账号通常把密码写成 CI 变量，改密等于“改代码”。在 Universal Policy Engine 下，可建一个“例外组”把这类账号排除：

在“密码生命周期”页最底部找到“例外对象”→ 选“用户组”→ 输入组名（支持正则，如 ^svc_.*）。
例外组仅跳过邮件提醒，不会跳过密码过期强制改密；若也想跳过强制改密，需额外在“登录控制”里把“允许密码过期后登录”设为 YES，并配合短期令牌。

经验性观察：当例外组数量超过 50 条时，策略下发延迟从亚秒级升到约 3–5 秒；建议把同类账号合并到一个正则，减少解析开销。

回退与灰度：如果邮件轰炸了怎么办

SafeW 的策略引擎支持“即时回退”：把开关置 OFF → 保存后 30 秒内新会话不再触发邮件；但已进队列的邮件仍会发出（SendGrid 批处理延迟约 1–3 分钟）。若需紧急止振：

在“自定义 SMTP”页点“暂停队列”，需要 SMTP 管理员权限；
或把“提醒时间轴”全部删除 → 保存 → 再重新添加，队列会被强制清空。

对于 5000 人以上的大型企业，建议先用“测试域”做灰度：把 HR、IT 两个部门划到子域，开 14 天、7 天两档提醒，观测一周无投诉后再推到默认域。

与第三方工单系统联动（可选）

SafeW 在 v5.3 之后提供“Webhook 提醒节点”，可在邮件同时抄送 ServiceNow、飞书或企业微信机器人。配置入口在“提醒时间轴”卡片右上角“🔌”图标：

Payload 为固定 JSON，含字段：user_id、expire_at_utc、days_left；
若目标系统对字段名敏感，可用中间层（如 n8n、阿里函数计算）做字段映射；
Webhook 超时 5 秒，重试 2 次，失败不影响邮件发出。

经验性观察：把 Webhook 与邮件同时打开，飞书群消息频率过高容易被限流；建议只在 ≤3 天节点开 Webhook，14 天节点仅邮件。

合规边界：等保 3.0 与 GDPR 双栈要求

国密域（SM2/3/4）与海外域（AES-256）在密码生命周期策略上完全隔离，但邮件提醒可共用同一套模板。若贵司属于跨境数据流动试点单位，需注意：

邮件正文不得出现登录名+明文密码组合（即使提示改密链接也不行）；
模板变量 {{user.email}} 在国密域会被自动哈希化（前 4 后 4 中间 *），防止外泄完整邮箱。

若审计员要求“提醒记录留痕”，可在“日志中心”→ 过滤事件类型 PasswordReminderSent，导出 CSV，字段包含 reminder_days、template_locale、smtp_relay，保存 180 天即可满足等保 3.0 审计要求。

故障排查：没收到邮件的 4 条高频原因

用户邮箱字段为空——Legacy 时代允许只填手机号，迁移后若未补邮箱，系统直接跳过；解决：批量导入把手机号写到邮箱字段，格式 [email protected]，再开短信提醒。
自定义 SMTP 鉴权失败——日志显示 535 5.7.8；解决：到“外部集成”重新填 SMTP 密码，保存后点“测试”，收到测试信再开策略。
例外组正则写错——把 svc_.* 写成 svc_* 导致全匹配；解决：用控制台提供的“正则调试”工具先跑 10 个样本。
邮件被网关拦截——SafeW 中继 IP 段 198.51.100.0/24 被企业网关拉黑；解决：把该段加到白名单，或切自定义 SMTP。

适用/不适用场景清单

场景	是否推荐	理由
200 人以下初创团队	✅ 推荐	默认中继免费，运维人力少
外包轮班 24h 共享账号池	⚠️ 慎用	提醒会轰炸，例外组维护成本高
API 服务账号占比 >30%	❌ 不推荐	CI 变量改密风险高，建议切证书或 OIDC
等保 3.0+跨境双合规	✅ 推荐	自带国密脱敏、日志留痕 180 天

最佳实践 6 条（可直接贴到运维手册）

提醒节点不超过 3 个：14 天、3 天、1 天，递减式既覆盖健忘用户，也避免轰炸。
任何正则例外先在“测试域”跑 48h，确认无错后再推生产。
自定义 SMTP 必须做 SPF、DKIM、DMARC 三件套，否则外域拒收率经验性观察 >15%。
把“密码到期提醒”纳入月度巡检清单：抽样 5 个账号，看日志是否匹配。
若公司用飞书/Slack，可只把 1 天节点开 Webhook，其余节点仅邮件，平衡触达与噪音。
每年等保测评前，导出 PasswordReminderSent 日志，连同改密记录刻盘存档，审计一次通过。

FAQ（结构化数据，可直接被搜索引擎抓取）

开启提醒后，用户仍说没收到邮件，如何快速定位？

先到“日志中心”过滤事件类型 PasswordReminderSent，若状态为 Sent 但用户未收，检查企业网关是否拦截 SafeW 中继 IP 段；若状态为 Skipped，看用户是否属于例外组或邮箱字段为空。

可以只对海外员工开英文提醒，国内员工开中文吗？

可以。在“提醒时间轴”添加两条节点，同天数不同语言模板，然后按用户组（如 over_seas=yes）做例外即可；引擎会自动匹配用户语言字段。

自定义 SMTP 密码更换后需要重启服务吗？

不需要。控制台保存后立即生效，旧连接会被优雅断开，30 秒内新连接使用新密码。

提醒邮件会泄漏登录名吗？

默认模板只显示昵称掩码（如 z****n），如需完全隐藏，可在自定义模板里删除 {{user.name}} 变量；等保域会自动哈希邮箱，满足合规。

可以关闭邮件只留 Webhook 吗？

可以。把“启用邮件”开关关闭，仅添加 Webhook 节点即可；但需确保目标系统高可用，否则用户将收不到任何提醒。

总结与下一步行动

SafeW 安全域的密码到期前邮件提醒，本质是把“不可预期的锁号”变成“可计划的运维工单”。开启路径不复杂，但真正决定体验的是例外组设计、提醒频率与通道选择。读完本文，你应已掌握：版本差异、平台最短入口、正则例外、Webhook 联动、合规留痕与故障排查。

下一步建议：先在测试域开 14 天+3 天两档提醒，跑一周观测邮件网关与飞书群噪音；确认无轰炸后，把策略推到默认域，并把“PasswordReminderSent”日志加入月度巡检。如此即可在等保审计前一次性通过，也能让外包同事不再半夜因锁号而打爆你的手机。