Echte producten zijn van nature multi-user — teams, werkruimtes, rollen, uitnodigingen. Om die flows eerlijk te testen heb je meerdere afzonderlijke, bereikbare inboxen tegelijk nodig. Een tijdelijke inbox wordt zo, bijna ongemerkt, een van de handigste tools in de gereedschapskist van een tester — en dat heeft niets te maken met verstoppen voor spam.
Waarom één inbox niet genoeg is
Je eigen adres staat al in het systeem, dus daarmee kun je onmogelijk een gloednieuwe gebruiker simuleren — laat staan drie verschillende nieuwe gebruikers tegelijk. Teams grijpen daarom vaak naar een gedeeld QA-Gmail-account met plus-adressering (bijvoorbeeld [email protected]). Dat werkt, tot het niet meer werkt: veel apps strippen of weigeren de "+"-tag, en zelfs als die wel wordt geaccepteerd, komt elk bericht toch in dezelfde mailbox terecht, die je achteraf moet uitpluizen om te achterhalen welke "gebruiker" wat ontving.
De workflow met tijdelijke inboxen
Elk tabblad op temp-email.ai/temp-mail is een volledig onafhankelijke inbox met een eigen, uniek adres. Open een paar tabbladen en je hebt meteen meerdere echte gebruikers om naartoe te sturen en van te ontvangen — geen account aanmaken, geen gedeelde mailbox die je achteraf moet opruimen. Alles verwijdert zichzelf automatisch na een uur, dus je blijft niet zitten met een stapel testaccounts die aan je persoonlijke e-mailadres hangen.
Scenario's die het testen waard zijn
- Team- en werkruimte-uitnodigingen: elke uitnodiging moet het juiste adres bereiken met een werkende link, en na het accepteren moet de gebruiker in de juiste werkruimte met de juiste rol terechtkomen.
- Rollen en rechten: registreer een eigenaar, een beheerder en een alleen-lezen lid als drie afzonderlijke gebruikers, en controleer vervolgens dat elk van hen precies ziet — en niet ziet — wat bij hun rol hoort (zie de OWASP Authorization Cheat Sheet).
- Omgaan met dubbele accounts: registreer twee accounts met verschillende adressen, probeer er daarna één opnieuw te gebruiken en kijk hoe de app reageert — ook met hetzelfde adres in een andere hoofdlettering.
- Verwijzings- en uitnodigingsbeloningen: de verwijzer mag pas een beloning krijgen zodra de uitgenodigde persoon zich aanmeldt én verifieert — daarvoor heb je twee actieve inboxen nodig om beide kanten live te volgen.
- Scheiding tussen tenants: maak accounts aan in twee afzonderlijke organisaties en controleer dat de gegevens van de ene tenant nooit opduiken in de e-mails of meldingen van de andere — een risico dat ook in de NIST-richtlijnen voor multi-tenant cloudbeveiliging wordt behandeld.
- Gelijktijdige aanmeldingen: registreer meerdere gebruikers binnen dezelfde seconde om race conditions in tokengeneratie op te sporen, en let op verificatiemails die veel later binnenkomen dan andere.
Wat te controleren zodra de mail binnenkomt
- Juiste ontvanger: ging de uitnodiging echt alleen naar het bedoelde adres?
- Juiste link: verwijst de accepteer- of verificatie-URL naar de juiste omgeving, met de juiste werkruimte- en rolcontext — en niet naar een hardgecodeerde productielink?
- Juiste eindstatus: zit de gebruiker na het accepteren in de juiste organisatie, met precies de rechten die bij zijn rol horen?
- Weergave en isolatie: wordt de e-mail correct weergegeven (knoppen klikbaar, naam correct ingevuld), en verwijst hij nooit per ongeluk naar de gegevens van een andere gebruiker?
Deze aanpak werkt het best voor exploratief testen en de handmatige regressieronde vlak voor een release — binnen een paar minuten zet je een kleine, realistische cast aan gebruikers neer en loop je het product door zoals een echt team dat zou doen. Twee eerlijke kanttekeningen: sommige apps blokkeren bekende tijdelijke-e-maildomeinen bij aanmelding, en dat is gewoon het eigen beleid van die app, en het is de moeite waard om vlak voor de lancering nog een laatste ronde te doen met een echte mailbox zoals Gmail, want eigenaardigheden rond bezorgbaarheid komen alleen bij echte providers aan het licht. Zo gebruikt zijn tijdelijke inboxen een simpele, eerlijke manier om multi-userflows grondig te testen voordat echte gebruikers tegen de bugs aanlopen.