docs(appconfig): add email security options to template

- Document ignore_tls_errors option with security warnings
- Document allow_unsafe_html option with security implications
- Add environment variable examples for security options
- Include usage guidelines for development vs production

Author: canaria-computer

internal/appconfig/config.template.yaml

@@ -70,4 +70,26 @@ email:
   smtp:
     uri: "" # 例: "smtp://user@example.com:password@smtp.example.com:587"
     secure: "" # "None", "SSL", "STARTTLS"
-  mime-type: "text/plain" # "text/plain", "multipart/alternative" (HTMLへの変換は自動的に行います。)
+  mime_type: "text/plain" # "text/plain", "multipart/alternative" (HTMLへの変換は自動的に行います。)
+
+  # セキュリティオプション
+  # これらのオプションは開発環境でのテストやトラブルシューティング用です。
+  # 本番環境では絶対に有効にしないでください。
+  security:
+    # ignore_tls_errors: 自己署名証明書やTLS検証エラーを無視する
+    # WARNING: TLS/SSL証明書の検証をスキップします。
+    # 中間者攻撃の対象になるため、開発環境でのみ使用してください。
+    # 使用例: DOWNFORCE_EMAIL_SECURITY_IGNORE_TLS_ERRORS=true
+    ignore_tls_errors: false # default: false (TLS検証は強制)
+
+    # allow_unsafe_html: Markdownで埋め込むHTMLのサニタイゼーションを無効化する
+    # WARNING: 信頼できないソースからのHTMLが埋め込まれた場合、
+    # XSS (クロスサイトスクリプティング) などのセキュリティリスクが生じます。
+    # HTMLコンテンツのソースが完全に信頼できる場合のみ有効にしてください。
+    # 使用例: DOWNFORCE_EMAIL_SECURITY_ALLOW_UNSAFE_HTML=true
+    allow_unsafe_html: false # default: false (HTML自動エスケープ)
+
+# 環境変数による設定例:
+# export DOWNFORCE_EMAIL_SECURITY_IGNORE_TLS_ERRORS=true
+# export DOWNFORCE_EMAIL_SECURITY_ALLOW_UNSAFE_HTML=true
+# down-force email draft --preview