What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

Costruire un sistema di verifica email che funziona

Perché la verifica email conta più di quanto pensi

La verifica email ha tre obiettivi principali. Primo conferma che l'utente controlli effettivamente l'indirizzo fornito — errori di battitura come [email protected] sono sorprendentemente frequenti. Secondo riduce la creazione massiva di account automatizzati da bot che usano indirizzi falsi o usa e getta. Terzo — il punto più sottovalutato — un indirizzo email verificato è un prerequisito di sicurezza per il ripristino della password. Senza verifica, un attaccante potrebbe registrare l'indirizzo di qualcun altro e attivare un'email di ripristino. L'OWASP Authentication Cheat Sheet copre questi rischi in dettaglio.

Il flusso di verifica completo passo per passo

Il protocollo di trasporto email è definito nell'RFC 5321 — ma le decisioni a livello applicativo spettano completamente allo sviluppatore. Ogni passaggio conta:

L'utente invia il modulo di registrazione. Validare il formato email lato server — non solo lato client.
Generare un token crittograficamente casuale. Non un UUID, non un ID sequenziale, non un timestamp — vera casualità crittografica con almeno 32 byte di entropia.
Memorizzare l'hash del token nel database. Salvare l'hash SHA-256 del token, non il token grezzo — insieme all'ID utente, timestamp di creazione, scadenza e flag "usato".
Inviare l'email di verifica. Il link contiene il token grezzo come parametro di query. Usare sempre HTTPS.
L'utente clicca il link. Il server riceve il token grezzo nella stringa di query.
Validare il token. Hashare il token in arrivo, trovare la corrispondenza nel database, verificare scadenza e stato "usato".
In caso di successo: marcare l'email come verificata, marcare il token come usato, effettuare il login dell'utente.
In caso di fallimento: mostrare un messaggio di errore specifico e azionabile con un link per richiedere una nuova email.

Generazione sicura di token

L'errore più comune è usare UUID v4 come token di verifica. Gli UUID vanno bene come identificatori di database, ma non sono progettati come token di sicurezza. L'approccio corretto: usare il generatore di numeri casuali crittografici del tuo runtime. In Node.js: crypto.randomBytes(32).toString('hex'). In Python: secrets.token_urlsafe(32). In .NET: RandomNumberGenerator.GetBytes(32). L'OWASP Authentication Cheat Sheet raccomanda almeno 32 byte (256 bit) di entropia.

Testare correttamente il flusso di verifica

Ogni modifica al flusso di verifica deve essere testata con una vera email verso una vera casella di posta. Aprire un indirizzo email temporaneo, copiarlo nel modulo di registrazione, creare un account di test e osservare l'email di verifica arrivare in tempo reale. Questo prova definitivamente che l'email viene effettivamente consegnata — non solo accettata dall'API del provider.

Il test più importante prima del deployment: aprire un indirizzo email temporaneo, creare un account di test, confermare che l'email di verifica arrivi in pochi secondi, cliccare il link e verificare che l'account sia marcato come confermato nel database. Questo test end-to-end rileva problemi di consegna, errori di template e generazione di link rotti — tutti invisibili agli unit test.

Autenticazione email: SPF, DKIM e DMARC

Senza corretta autenticazione email, le email di verifica finiscono nello spam. SPF autorizza i server di invio tramite un record DNS TXT. DKIM aggiunge una firma crittografica. DMARC definisce la policy quando SPF o DKIM falliscono. Usare MXToolbox per verificare le tre configurazioni. Consultare la documentazione sull'autenticazione email del tuo provider di invio.

Errori comuni da evitare

Non invalidare il token dopo l'uso. Impostare sempre il flag "usato" e verificarlo ad ogni validazione.
Inviare email di benvenuto prima della verifica. Attivare le sequenze di onboarding solo dopo verifica confermata.
Non limitare le richieste di reinvio. Limitare i reinvii per indirizzo a per esempio tre all'ora.
Inviare link di verifica via HTTP. Usare sempre HTTPS — senza eccezioni.
Non registrare gli eventi di verifica. Quando il token è stato creato, inviato e cliccato — essenziale per la diagnostica.
Usare lo stesso token per più scopi. Token separati per verifica, reset password e cambio email.

Blog

Come costruire un sistema di verifica email che funziona davvero