What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

E-Mail-Verifizierungssystem richtig bauen

Warum E-Mail-Verifizierung wirklich wichtig ist

E-Mail-Verifizierung erfüllt drei Kernzwecke. Erstens bestätigt sie, dass der Nutzer die angegebene Adresse tatsächlich kontrolliert — Tippfehler wie [email protected] kommen erstaunlich häufig vor. Zweitens verhindert sie die massenhafte automatisierte Kontoerstellung durch Bots, die auf gefälschten oder Wegwerf-Adressen basiert. Drittens — und das wird am häufigsten unterschätzt — ist eine verifizierte E-Mail-Adresse eine Sicherheitsvoraussetzung für den Passwort-Reset. Ohne Verifizierung kann ein Angreifer eine fremde Adresse registrieren und einen Reset auslösen. Das OWASP Authentication Cheat Sheet erklärt diese Risiken ausführlich.

Außerdem gilt: Wer E-Mails an Nutzer sendet — Benachrichtigungen, Quittungen, Updates — muss sicherstellen, dass die Adressen real und erreichbar sind. Das Senden an ungültige Adressen erhöht die Bounce-Rate, beschädigt die Sender-Reputation und führt dazu, dass zukünftige E-Mails im Spam landen. Verifizierung ist das Fundament, das das gesamte E-Mail-Programm zum Funktionieren bringt.

Der vollständige Verifizierungs-Flow

Das E-Mail-Transportprotokoll ist in RFC 5321 definiert — aber die Entscheidungen auf Anwendungsebene liegen vollständig beim Entwickler. Hier ist jeder Schritt, der korrekt umgesetzt werden muss:

Nutzer sendet Registrierungsformular. E-Mail-Format serverseitig validieren — nicht nur clientseitig.
Kryptografisch zufälligen Token generieren. Kein UUID, keine sequenzielle ID, kein Zeitstempel — nur echte kryptografische Zufälligkeit mit mindestens 32 Byte Entropie.
Token-Hash in der Datenbank speichern. Den SHA-256-Hash des Tokens speichern, nicht den Rohtoken — zusammen mit Nutzer-ID, Erstellungszeitstempel, Ablaufzeit und "verwendet"-Flag.
Verifizierungs-E-Mail versenden. Der Link enthält den Rohtoken als Query-Parameter. Immer HTTPS verwenden.
Nutzer klickt den Link. Server empfängt den Rohtoken in der Query-String.
Token validieren. Incoming-Token hashen, in der Datenbank suchen, auf Ablauf und "verwendet"-Status prüfen.
Bei Erfolg: E-Mail als verifiziert markieren, Token als verwendet kennzeichnen, Nutzer einloggen.
Bei Fehler: Spezifische, verständliche Fehlermeldung mit Link zum erneuten Anfordern einer Verifizierungs-E-Mail.

Sichere Token-Generierung

Der häufigste Fehler ist die Verwendung von UUID v4 als Verifizierungstoken. UUIDs sind gut für Datenbankbezeichner, aber nicht für Sicherheitstoken konzipiert. Die richtige Vorgehensweise: den kryptografischen Zufallszahlengenerator der jeweiligen Laufzeit nutzen. In Node.js: crypto.randomBytes(32).toString('hex'). In Python: secrets.token_urlsafe(32). In .NET: RandomNumberGenerator.GetBytes(32). Das OWASP Authentication Cheat Sheet empfiehlt mindestens 32 Byte (256 Bit) Entropie.

Zur Speicherung: Den SHA-256-Hash des Tokens in der Datenbank speichern, den Rohtoken im E-Mail-Link senden. Bei der Validierung den eingehenden Token hashen und mit dem gespeicherten Hash vergleichen. Bei Datenbankzugriff durch einen Angreifer sind die Hashes nutzlos. Außerdem: Tokenvergleiche sollten zeitkonstant sein — in Node.js crypto.timingSafeEqual(), in Python hmac.compare_digest() verwenden.

Token-Ablaufzeit richtig gestalten

24 bis 48 Stunden sind der Industriestandard für Token-Ablaufzeiten. Lang genug, damit ein Nutzer, der sich nachts registriert, am nächsten Morgen die E-Mail öffnen kann. Kurz genug, damit ein gestohlener Token ein begrenztes Nutzungsfenster hat. Die Ablaufzeit sollte in der E-Mail selbst kommuniziert werden: "Dieser Verifizierungslink läuft in 24 Stunden ab."

Wenn ein Token abläuft, muss die Fehlermeldung spezifisch und handlungsorientiert sein — nicht "ungültiger Token", sondern "Dieser Verifizierungslink ist abgelaufen. Klicke hier, um einen neuen anzufordern." Auch der Zustand "bereits verifiziert" sollte explizit behandelt werden: Statt eines Fehlers den Nutzer direkt in die App weiterleiten.

Die Verifizierungs-E-Mail selbst

Betreff: "Bitte bestätige deine E-Mail-Adresse" — direkt und eindeutig. Kein Marketing, keine Dringlichkeitssprachspiele. Inhalt: zwei bis drei Kontextsätze, ein klar beschrifteter Button ("E-Mail-Adresse bestätigen") und die rohe URL als Fallback für E-Mail-Clients, die kein HTML rendern. Eine Klartextalternative ist Pflicht. Link-Shortener niemals in Verifizierungs-E-Mails verwenden.

Der Absendername sollte der Markenname der App sein. Die Reply-To-Adresse sollte an das Support-Team weitergeleitet werden. Keine no-reply@...-Adresse als einzige Kontaktmöglichkeit verwenden.

Den Verifizierungs-Flow richtig testen

Jede Änderung am Verifizierungs-Flow sollte mit einer echten E-Mail an einen echten Posteingang getestet werden. Eine temporäre E-Mail-Adresse öffnen, in das Registrierungsformular eintragen, ein Testkonto erstellen und die Verifizierungs-E-Mail in Echtzeit beobachten — das zeigt, ob die E-Mail tatsächlich zugestellt wird, nicht nur in der API-Queue landet. Außerdem lässt sich prüfen, ob die E-Mail im Posteingang oder im Spam angekommen ist.

Happy Path: Registrierung, E-Mail-Empfang, Link-Klick, Konto verifiziert
Abgelaufener Token: Ablaufzeit in der Datenbank auf Vergangenheit setzen, Link klicken — klare Fehlermeldung mit Resend-Option prüfen
Bereits verwendeter Token: Zweimal auf denselben Link klicken — kein Fehler, sondern "bereits verifiziert"-Meldung
Manipulierter Token: Token-Wert in der URL ändern — klare Fehlermeldung statt Server-Crash
Resend-Flow: Neue Verifizierungs-E-Mail anfordern, neuen Link bestätigen, alten Link als ungültig prüfen

Der wichtigste Test vor dem Deployment: Eine frische temporäre E-Mail-Adresse öffnen, Testkonto registrieren, Verifizierungs-E-Mail in wenigen Sekunden bestätigen, Link klicken, Konto als verifiziert prüfen. Dieser End-to-End-Test erkennt Zustellungsprobleme, Template-Fehler und fehlerhafte Link-Generierung — die durch Unit-Tests unsichtbar bleiben. Bei jedem Deployment in eine neue Umgebung wiederholen.

E-Mail-Authentifizierung: SPF, DKIM und DMARC

Ohne korrekte E-Mail-Authentifizierung landen Verifizierungs-E-Mails im Spam. SPF autorisiert Mailserver über einen DNS-TXT-Eintrag. DKIM fügt eine kryptografische Signatur hinzu. DMARC definiert die Richtlinie für den Fall, dass SPF oder DKIM fehlschlagen. Mit MXToolbox lassen sich alle drei Konfigurationen prüfen. Mehr zur E-Mail-Authentifizierung in der Dokumentation des jeweiligen Versanddienstleisters.

Häufige Fehler

Token nach Verwendung nicht invalidieren. Immer das "verwendet"-Flag setzen und bei jeder Validierung prüfen.
Willkommens-E-Mails vor abgeschlossener Verifizierung versenden. Onboarding-Sequenzen erst nach Verifizierung aktivieren.
Resend-Endpunkt nicht rate-limiten. Resend-Anfragen pro E-Mail-Adresse auf z.B. drei pro Stunde begrenzen.
Verifizierungslinks über HTTP senden. Immer HTTPS verwenden — ohne Ausnahme.
Verifizierungsereignisse nicht protokollieren. Wann wurde der Token erstellt, wann gesendet, wann geklickt — für Fehlerdiagnose unerlässlich.
Denselben Token für verschiedene Zwecke nutzen. Separate Tokens für Verifizierung, Passwort-Reset und E-Mail-Änderung verwenden.

Datenschutz und Datensparsamkeit

Verifizierungstoken sofort nach Verwendung löschen. Abgelaufene ungenutzte Tokens regelmäßig bereinigen. Unverifizierte Konten nach sieben Tagen entfernen. Die Electronic Frontier Foundation bietet nützlichen Kontext zu Datensparsamkeit. Nützlich auch: Have I Been Pwned als Signal bei der Betrugserkennung.

Blog

So baust du ein E-Mail-Verifizierungssystem, das wirklich funktioniert