What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

Probar flujos de restablecimiento de contraseña como desarrollador

Por qué las pruebas de restablecimiento de contraseña se descuidan

La mayoría de los desarrolladores prueba el flujo de restablecimiento una vez con su propio correo electrónico y lo dan por hecho. Después del quinto intento, la bandeja de entrada está llena de mensajes idénticos de "Restablece tu contraseña". Se pierde la pista de qué enlace corresponde a qué ejecución y eventualmente se deja de probar exhaustivamente porque resulta demasiado molesto. Exactamente esa clase de complacencia deja que errores graves lleguen a producción.

Qué realmente necesitas probar en un flujo de restablecimiento

Una simple comprobación de "¿envía un correo?" no es suficiente. El OWASP Authentication Cheat Sheet detalla un conjunto completo de requisitos:

Entrega del correo — ¿llega el correo de restablecimiento, y con rapidez?
Corrección del enlace — ¿lleva el enlace a la página correcta con el token correcto?
Caducidad del token — ¿se rechaza correctamente un token caducado después de 25 horas?
Uso único — ¿se puede usar el mismo enlace de restablecimiento dos veces? No debería.
Invalidación al nuevo solicitar — ¿se invalida el primer token si el usuario solicita otro restablecimiento?
Cuentas SSO — ¿qué ocurre con usuarios registrados vía OAuth?
Limitación de velocidad — ¿hay un límite en las solicitudes de restablecimiento por dirección?

El enfoque de correo temporal — paso a paso

La solución más limpia es una dirección de correo temporal nueva para cada ejecución de prueba. Abre una bandeja de entrada temporal, copia la dirección, registra una cuenta de prueba en tu aplicación, activa un restablecimiento y observa el correo llegar en tiempo real. Haz clic en el enlace, verifica el flujo completo y confirma que el inicio de sesión funciona. Para otro escenario, simplemente abre una nueva pestaña del navegador.

Nunca codifiques de forma fija una dirección de correo de prueba en tu código. Usa una bandeja de entrada de correo temporal nueva cada vez — asegura que pruebas la entrega real y siempre empiezas con un estado limpio.

La lista de verificación de seguridad del token

Los tokens de restablecimiento de contraseña son una superficie de ataque común. Según OWASP, una implementación segura debe:

Al menos 32 caracteres, generados criptográficamente de forma aleatoria
Caducar en 24 horas, idealmente en 1 hora
Ser de uso único — invalidado inmediatamente tras el canje
Invalidarse cuando se solicita un nuevo restablecimiento
Estar limitado por velocidad por dirección de correo
Nunca registrarse en texto plano

Incluye el restablecimiento en tu suite de regresión

El restablecimiento de contraseña se rompe silenciosamente cuando se actualizan las bibliotecas de autenticación. Añade al menos una prueba básica de extremo a extremo: crea programáticamente una cuenta de prueba, activa un restablecimiento, intercepta el correo saliente y verifica el token. Comprueba la configuración de autenticación de tu dominio con MXToolbox y consulta Troy Hunt para perspectiva sobre brechas de seguridad reales.

Blog

Cómo probar flujos de restablecimiento de contraseña sin usar tu bandeja de entrada real

Por qué las pruebas de restablecimiento de contraseña se descuidan

Qué realmente necesitas probar en un flujo de restablecimiento

El enfoque de correo temporal — paso a paso

La lista de verificación de seguridad del token

Incluye el restablecimiento en tu suite de regresión