What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

Testare i flussi di reimpostazione della password come sviluppatore

Perché il test della reimpostazione della password viene trascurato

La maggior parte degli sviluppatori testa il flusso di reimpostazione una volta con il proprio indirizzo email e lo considera fatto. Dopo la quinta esecuzione di test, la casella di posta è piena di messaggi identici "Reimposta la tua password". Si perde il conto di quale link appartiene a quale esecuzione e alla fine si smette di testare accuratamente perché è diventato noioso. Esattamente quel tipo di compiacenza lascia entrare bug gravi in produzione.

Cosa devi effettivamente testare in un flusso di reimpostazione

Un semplice controllo "invia un'email?" non è sufficiente. Il OWASP Authentication Cheat Sheet descrive un insieme completo di requisiti:

Consegna dell'email — l'email di reimpostazione arriva, e rapidamente?
Correttezza del link — il link porta alla pagina giusta con il token corretto?
Scadenza del token — un token scaduto viene correttamente rifiutato dopo 25 ore?
Uso singolo — lo stesso link di reimpostazione può essere usato due volte? Non dovrebbe.
Invalidazione alla nuova richiesta — il primo token diventa invalido se l'utente richiede un'altra reimpostazione?
Account SSO — cosa succede con gli utenti registrati tramite OAuth?
Limitazione della frequenza — c'è un limite alle richieste di reimpostazione per indirizzo?

L'approccio dell'email temporanea — passo dopo passo

La soluzione più pulita è un nuovo indirizzo email temporaneo per ogni esecuzione di test. Apri una casella di posta temporanea, copia l'indirizzo, registra un account di test nella tua applicazione, attiva una reimpostazione e osserva l'email arrivare in tempo reale. Fai clic sul link, verifica il flusso completo e conferma che il login funziona. Per un altro scenario, apri semplicemente una nuova scheda del browser.

Non codificare mai un indirizzo email di test nella tua codebase. Usa una casella di posta email temporanea nuova ogni volta — garantisce che stai testando la vera consegna e inizi sempre con uno stato pulito.

La checklist di sicurezza dei token

I token di reimpostazione della password sono una superficie di attacco comune. Secondo OWASP, un'implementazione sicura deve:

Almeno 32 caratteri, generati crittograficamente in modo casuale
Scadere entro 24 ore, idealmente entro 1 ora
Essere a uso singolo — invalidato immediatamente dopo il riscatto
Essere invalidato quando viene richiesta una nuova reimpostazione
Essere limitato per frequenza per indirizzo email
Non essere mai registrato in testo in chiaro

Includi la reimpostazione nella tua suite di regressione

La reimpostazione della password si rompe silenziosamente quando le librerie di autenticazione vengono aggiornate. Aggiungi almeno un test end-to-end di base: crea programmaticamente un account di test, attiva una reimpostazione, intercetta l'email in uscita e verifica il token. Verifica la configurazione di autenticazione del tuo dominio con MXToolbox e consulta Troy Hunt per una prospettiva approfondita sulle violazioni della sicurezza reali.

Blog

Come testare i flussi di reimpostazione della password senza usare la tua vera casella di posta

Perché il test della reimpostazione della password viene trascurato

Cosa devi effettivamente testare in un flusso di reimpostazione

L'approccio dell'email temporanea — passo dopo passo

La checklist di sicurezza dei token

Includi la reimpostazione nella tua suite di regressione