Скан в почту: рабочая настройка SMTP и защита от блокировок

Чтобы настроить «скан в email», чаще всего достаточно указать SMTP-сервер, порт 587 и STARTTLS, корректный адрес отправителя и учётные данные (или релей по IP). Основные поломки связаны с блокировкой порта 25, отсутствием TLS 1.2+, лимитами на вложения и небезопасным хранением пароля в МФУ.

Оглавление

Что подготовить перед настройкой

Соберите параметры и сразу внесите их в чек‑лист — это экономит часы диагностики:

  • SMTP host (имя сервера) и тип схемы: SMTP AUTH (по логину) или SMTP relay (по IP/коннектору).
  • Порт и шифрование: обычно 587 + STARTTLS или 465 + TLS.
  • Логин/пароль (если SMTP AUTH) либо разрешённый внешний IP (если relay).
  • Адрес From: он должен быть разрешён политиками почты (иногда строго «только как залогиненный ящик»).
  • DNS и доступ в интернет из подсети, где стоит МФУ (иначе сервер не резолвится/не пингуется).
  • Ограничения: размер письма/вложений, лимиты отправки, список разрешённых получателей (внутренние/внешние).

Если МФУ «старое» и не дружит с TLS/современной авторизацией, чаще всего спасает локальный SMTP‑шлюз: МФУ отправляет на него внутри сети, а шлюз уже уходит наружу по TLS и с корректной аутентификацией.

SMTP-параметры: порт, TLS и авторизация

Выбор порта (практически):

  • 587 (STARTTLS) — основной вариант для отправки с авторизацией. Подходит большинству МФУ.
  • 465 (TLS сразу) — бывает удобнее для некоторых моделей/прошивок.
  • 25 (relay) — нужен для схем «без пароля в МФУ» (по IP/коннектору), но часто блокируется провайдерами и корпоративными фаерволами.

TLS — обязательный минимум. Если устройство не поддерживает TLS 1.2+, облачные почтовые сервисы нередко просто не дают подключиться. Решение: обновить прошивку или использовать SMTP‑шлюз.

Авторизация:

  • Если МФУ умеет только логин/пароль, учитывайте, что многие сервисы постепенно ужесточают требования к «простому» SMTP‑входу. Иногда требуется отдельный пароль приложения или альтернативная схема (relay/шлюз).
  • Если используется relay по IP, пароль в МФУ не хранится — это безопаснее, но потребует статического публичного IP и аккуратных правил на стороне почты.

Не выбирайте порт 25 «по привычке». Сначала проверьте, разрешён ли исходящий 25 из вашей сети и не режется ли он провайдером.

Ограничения провайдера: вложения, лимиты и блокировки

Три ограничения ломают «скан в email» чаще всего:

  1. Размер вложения (часто около 25 МБ на письмо).
    Что делать: уменьшить DPI, включить ч/б, сжатие PDF, разбивать пачку страниц на несколько писем.

  2. Лимиты на количество отправок/получателей (антиспам‑троттлинг).
    Что делать: отправлять сканы на внутренний адрес/архив, а уже оттуда рассылать людям; ограничить адресную книгу; включить задержку/очередь на шлюзе.

  3. Политики отправителя (From) и антиспуф.
    Если From не совпадает с разрешённым ящиком/доменом, письма могут отклоняться или уходить в спам. Минимально: используйте адрес вида scanner@ваш-домен и не подменяйте домен.

Безопасность: как не «слить» почту через МФУ

  • Создайте отдельный почтовый ящик/идентификатор только для сканов (не личная почта сотрудника и не админ).
  • Дайте минимальные права: без доступов к файлам/дискам/админ‑ролям.
  • Ограничьте сеть: МФУ должен иметь доступ только к нужному SMTP‑узлу (и DNS), а веб‑интерфейс МФУ — только из админской подсети.
  • Включите TLS, запретите «открытый релей» на любых промежуточных SMTP‑узлах.
  • Включите логи и базовый контроль: всплеск отправок = повод проверять устройство/пароль.

Частые ошибки

  • Таймаут/не подключается к серверу → неверный порт, блокировка 25, нет маршрута/DNS.
  • Ошибка TLS/handshake → МФУ не поддерживает TLS 1.2+, устаревшая прошивка, неверный режим STARTTLS/TLS.
  • «Authentication failed» → неверный логин/пароль, запрет простой SMTP‑авторизации, требуется пароль приложения/другая схема.
  • Внутри домена отправляет, наружу — нет → выбран режим «только внутренняя доставка», или политики/коннектор запрещают внешние домены.
  • Письма в спаме → подмена From, нет согласованных доменных политик, пустая тема/тело, одинаковые вложения потоком.

FAQ

Какой порт ставить для сканирования в email?
В большинстве случаев — 587 + STARTTLS. Порт 25 используйте только для relay‑сценариев и если он точно не заблокирован.

Можно ли просто указать внешний ящик и пароль?
Иногда да, но всё чаще это нестабильно из‑за требований к безопасной авторизации. Надёжнее: relay по IP/коннектору или локальный SMTP‑шлюз.

Что выбрать, если МФУ не умеет современный TLS/авторизацию?
Либо обновить прошивку, либо поставить локальный SMTP‑шлюз, который примет письмо от МФУ внутри сети и отправит дальше по современным правилам.

Как уменьшить размер скана, чтобы проходил лимит?
Снизьте DPI (например, 200–300), включите ч/б для текста, используйте PDF с сжатием, разделяйте документ на части.