cf-mail

cf-mail 是一个完全跑在 Cloudflare 上的自托管邮箱：Email Routing 收信、Workers 处理、D1 存信、R2 存附件，自带一个零依赖的网页客户端，可选 Web Push / APNs 推送。没有服务器要运维，没有月费——一个 Worker 就是你的整套邮件系统。

它最特别的地方，是为 AI agent 设计了一套有界、可观测的邮箱：Agent Mail Protocol（AMP）。

为什么做它

一旦你开始跑 agent，邮件就不再是人对人的媒介，而变成 agent 与外部世界之间一个异步、持久、人人都能投递的缓冲池——这是世上唯一一个所有人、所有服务都已经在说的协议。但天真地给 agent 一个邮箱很危险：它一次性凑齐了致命三件套（接触私有数据、暴露于不可信内容、能对外通信）。cf-mail 的目标，是让 agent 能安全地拥有一个邮箱。

核心能力

• 收 / 发 / 存 / 转发：未知地址在 SMTP 阶段直接 550 拒绝；plus 寻址（you+x@ → you@）；附件存 R2。
• 内置网页客户端：文件夹、搜索、会话视图、撰写/回复（正确的 In-Reply-To/References 串线）、联系人、一键拉黑。深色模式、移动端友好、零前端依赖。
• 推送两条通道：浏览器 Web Push（VAPID）+ 直接从 Worker 推 APNs（给自己的 iOS 客户端）。
• 脚本友好的 API：一条 curl 就能从 CI 或 agent 发一封通知邮件。

给 agent 的邮箱（AMP）

• 邮箱是数据缓冲区，不是命令通道：邮件内容永远是数据、不是 prompt。收到 ≠ 读取 ≠ 行动，三步分离；信任信号只决定「读得多警惕」，绝不决定「是否照做」。
• 收发双向、默认拒绝：agent 邮箱在你加白名单前，既不收也不发。出站在发信绑定触发前就拦——即便 agent 被劫持，「把密钥发给 attacker@evil.com」也出不去。
• 可观测：每封信带信任块（DKIM/SPF/是否已知联系人…）、received → delivered → handled 生命周期、带 reason code 的事件日志，以及按邮箱绑定的令牌。

开源

MIT 协议，代码与部署指南都在 GitHub。协议本身（AMP 规范）与实现分离，任何系统都能照着托管 agent 邮箱。

🔗 仓库与文档见下方链接。延伸阅读：是时候给你的 agent 设计一个邮箱了。