What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

E-mailverificatiesysteem correct bouwen

Waarom e-mailverificatie er echt toe doet

E-mailverificatie dient drie kerndoelen. Ten eerste bevestigt het dat de gebruiker het opgegeven adres daadwerkelijk beheert — typefouten zoals [email protected] komen verrassend vaak voor. Ten tweede voorkomt het geautomatiseerde accountaanmaak door bots die nep- of wegwerpadressen gebruiken. Ten derde — en dit wordt het vaakst onderschat — is een geverifieerd e-mailadres een beveiligingsvereiste voor wachtwoordherstel. Zonder verificatie kan een aanvaller een andermans adres registreren en een herstelmail activeren naar die persoon. Het OWASP Authentication Cheat Sheet behandelt deze risico's uitgebreid.

Bovendien: als je e-mails verstuurt aan gebruikers — meldingen, facturen, updates — moet je weten dat die adressen echt en bereikbaar zijn. Verzenden naar ongeldige adressen verhoogt je bouncepercentage, beschadigt je afzenderreputatie en zorgt ervoor dat toekomstige e-mails in spam belanden.

De volledige verificatiestroom stap voor stap

E-mailtransport is gedefinieerd in RFC 5321 — maar de beslissingen op applicatieniveau zijn volledig aan de ontwikkelaar. Elke stap telt:

Gebruiker dient registratieformulier in. Valideer het e-mailformaat server-side — niet alleen client-side.
Genereer een cryptografisch willekeurig token. Geen UUID, geen sequentieel ID, geen tijdstempel — echte cryptografische willekeurigheid met minimaal 32 bytes entropie.
Sla de tokenhash op in de database. Bewaar de SHA-256-hash van het token, niet het ruwe token zelf — samen met gebruikers-ID, aanmaaktijdstempel, vervaltijdstempel en een "gebruikt"-vlag.
Verstuur de verificatie-e-mail. De link bevat het ruwe token als queryparameter. Altijd HTTPS gebruiken.
Gebruiker klikt op de link. Server ontvangt het ruwe token in de querystring.
Valideer het token. Hash het inkomende token, zoek de overeenkomst in de database, controleer vervaltijd en "gebruikt"-status.
Bij succes: e-mailadres als geverifieerd markeren, token als gebruikt flaggen, gebruiker inloggen.
Bij mislukking: specifieke, begrijpelijke foutmelding tonen met een link om een nieuwe verificatie-e-mail aan te vragen.

Veilige tokengeneratie

De meest voorkomende fout is het gebruik van UUID v4 als verificatietoken. UUID's zijn goed als database-identificatoren, maar ze zijn niet ontworpen als beveiligingstokens. De juiste aanpak: gebruik de cryptografische willekeurigegenerator van je runtime. In Node.js: crypto.randomBytes(32).toString('hex'). In Python: secrets.token_urlsafe(32). In .NET: RandomNumberGenerator.GetBytes(32). Het OWASP Authentication Cheat Sheet raadt minimaal 32 bytes (256 bits) entropie aan.

Bewaar de SHA-256-hash van het token in de database en stuur het ruwe token in de e-maillink. Bij validatie hash je het inkomende token en vergelijk je dit met de opgeslagen hash. Als een aanvaller toegang krijgt tot de database, zijn de hashes nutteloos. Gebruik tijdsconstante vergelijkingsfuncties: crypto.timingSafeEqual() in Node.js, hmac.compare_digest() in Python.

Vervaltijden correct instellen

24 tot 48 uur is de industriestandaard voor tokenverval. Lang genoeg voor gebruikers die zich 's avonds registreren en de volgende ochtend hun e-mail checken. Kort genoeg om het bruikbaarheidsvenster van een gestolen token te beperken. Vermeld de vervaltijd expliciet in de e-mail zelf: "Deze verificatielink verloopt over 24 uur."

Bij vervallen tokens: toon een specifieke, heldere foutmelding met een directe knop om een nieuwe te aanvragen — niet een generieke "ongeldige token"-melding. Behandel ook de "al geverifieerd"-status expliciet: leid de gebruiker door naar de app in plaats van een verwarring wekkende fout te tonen.

De verificatie-e-mail zelf

Onderwerpregel: "Bevestig je e-mailadres" — direct en ondubbelzinnig. Geen marketing, geen urgentietaal. Inhoud: twee à drie contextzinnen, een duidelijk gelabelde knop ("E-mailadres bevestigen") en de kale URL als noodoplossing voor e-mailclients die geen HTML renderen. Een plain-textalternatief is verplicht. Gebruik nooit URL-verkorters in verificatie-e-mails.

Je verificatieflow goed testen

Elke wijziging aan de verificatieflow moet getest worden met een echte e-mail naar een echte inbox. Open een tijdelijk e-mailadres, registreer een testaccount en kijk hoe de verificatie-e-mail in realtime arriveert. Dit bewijst definitief dat de e-mail daadwerkelijk wordt afgeleverd — niet alleen in de verzendwachtrij staat.

Happy path: registreren, e-mail ontvangen, link klikken, account geverifieerd
Verlopen token: vervaltijd in de database naar het verleden zetten, link klikken — heldere foutmelding met resend-optie
Al gebruikte token: tweemaal op dezelfde link klikken — geen fout, maar "al geverifieerd"-bericht
Gemanipuleerde token: tokenwaarde in de URL aanpassen — duidelijke foutmelding
Resend-flow: nieuwe e-mail aanvragen, nieuwe link bevestigen, oude link als ongeldig verifiëren

De belangrijkste test voor je deployment: open een tijdelijk e-mailadres, registreer een testaccount, bevestig dat de verificatie-e-mail binnen enkele seconden arriveert, klik de link, en verifieer dat het account als bevestigd staat in de database. Deze end-to-end-test herkent afleveringsproblemen, template-fouten en kapotte linkgeneratie — allemaal onzichtbaar in unittests. Herhaal dit bij elke deployment naar een nieuwe omgeving.

E-mailauthenticatie: SPF, DKIM en DMARC

Zonder correcte e-mailauthenticatie belanden verificatie-e-mails in spam. SPF autoriseert mailservers via een DNS-TXT-record. DKIM voegt een cryptografische handtekening toe. DMARC definieert het beleid wanneer SPF of DKIM falen. Gebruik MXToolbox om alle drie de configuraties te controleren. Raadpleeg de documentatie over e-mailauthenticatie bij je verzendprovider.

Veelgemaakte fouten

Token niet invalideren na gebruik. Altijd het "gebruikt"-vlag instellen en bij elke validatie controleren.
Welkomstmails versturen vóór verificatie. Onboarding-sequenties pas activeren na bevestigde verificatie.
Resend-endpoint niet rate-limiteren. Resend-verzoeken per adres beperken tot bijv. drie per uur.
Verificatielinks via HTTP versturen. Altijd HTTPS — zonder uitzondering.
Verificatiegebeurtenissen niet loggen. Wanneer is het token aangemaakt, verstuurd en geklikt — essentieel voor foutopsporing.
Dezelfde token voor meerdere doeleinden. Aparte tokens voor verificatie, wachtwoordherstel en e-mailwijziging gebruiken.

Blog

Hoe bouw je een e-mailverificatiesysteem dat echt werkt