What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

Budowanie działającego systemu weryfikacji e-mail

Dlaczego weryfikacja e-mail jest ważniejsza niż myślisz

Weryfikacja e-mail ma trzy główne cele. Po pierwsze potwierdza, że użytkownik faktycznie kontroluje podany adres — literówki jak [email protected] są zaskakująco częste. Po drugie zmniejsza masowe automatyczne tworzenie kont przez boty używające fałszywych lub jednorazowych adresów. Po trzecie — i to punkt najczęściej niedoceniany — zweryfikowany adres e-mail jest warunkiem bezpieczeństwa dla resetowania hasła. Bez weryfikacji atakujący może zarejestrować cudzy adres i wyzwolić e-mail resetujący. OWASP Authentication Cheat Sheet szczegółowo omawia te ryzyka.

Kompletny przepływ weryfikacji krok po kroku

Protokół transportu e-mail jest zdefiniowany w RFC 5321 — ale decyzje na poziomie aplikacji należą całkowicie do programisty. Każdy krok ma znaczenie:

Użytkownik wysyła formularz rejestracji. Waliduj format e-mail po stronie serwera — nie tylko po stronie klienta.
Generuj kryptograficznie losowy token. Nie UUID, nie ID sekwencyjne, nie znacznik czasu — prawdziwa losowość kryptograficzna z co najmniej 32 bajtami entropii.
Przechowuj hash tokenu w bazie danych. Zapisz hash SHA-256 tokenu, nie surowy token — wraz z ID użytkownika, znacznikiem czasu utworzenia, czasem wygaśnięcia i flagą "użyty".
Wyślij e-mail weryfikacyjny. Link zawiera surowy token jako parametr zapytania. Zawsze używaj HTTPS.
Użytkownik klika link. Serwer odbiera surowy token w ciągu zapytania.
Zweryfikuj token. Zahashuj przychodzący token, znajdź dopasowanie w bazie, sprawdź wygaśnięcie i flagę "użyty".
W przypadku sukcesu: oznacz e-mail jako zweryfikowany, ustaw token jako użyty, zaloguj użytkownika.
W przypadku błędu: wyświetl konkretny, aktywowalny komunikat błędu z linkiem do żądania nowego e-maila.

Bezpieczne generowanie tokenów

Najczęstszy błąd to używanie UUID v4 jako tokenu weryfikacyjnego. UUID są dobre dla identyfikatorów bazy danych, ale nie są zaprojektowane jako tokeny bezpieczeństwa. Właściwe podejście: użyj kryptograficznego generatora liczb losowych swojego środowiska uruchomieniowego. W Node.js: crypto.randomBytes(32).toString('hex'). W Python: secrets.token_urlsafe(32). W .NET: RandomNumberGenerator.GetBytes(32). OWASP Authentication Cheat Sheet zaleca co najmniej 32 bajty (256 bitów) entropii.

Prawidłowe testowanie przepływu weryfikacji

Każda zmiana w przepływie weryfikacji powinna być testowana z prawdziwym e-mailem do prawdziwej skrzynki odbiorczej. Otwórz tymczasowy adres e-mail, wpisz go w formularz rejestracji, utwórz konto testowe i obserwuj e-mail weryfikacyjny przychodząc w czasie rzeczywistym. To definitywnie dowodzi, że e-mail jest naprawdę dostarczany.

Najważniejszy test przed wdrożeniem: otwórz tymczasowy adres e-mail, utwórz konto testowe, potwierdź że e-mail weryfikacyjny przychodzi w ciągu kilku sekund, kliknij link i sprawdź czy konto jest oznaczone jako potwierdzone w bazie danych. Ten test end-to-end wykrywa problemy z dostarczaniem, błędy szablonów i uszkodzone generowanie linków — wszystkie niewidoczne w testach jednostkowych.

Uwierzytelnianie e-mail: SPF, DKIM i DMARC

Bez prawidłowego uwierzytelniania e-mail, e-maile weryfikacyjne trafiają do spamu. SPF autoryzuje serwery wysyłające za pomocą rekordu DNS TXT. DKIM dodaje podpis kryptograficzny. DMARC definiuje politykę gdy SPF lub DKIM zawiedzie. Użyj MXToolbox do sprawdzenia trzech konfiguracji. Zapoznaj się z dokumentacją uwierzytelniania e-mail u swojego dostawcy wysyłania.

Częste błędy do uniknięcia

Nie unieważniać tokenu po użyciu. Zawsze ustawiaj flagę "użyty" i sprawdzaj ją przy każdej weryfikacji.
Wysyłać e-maile powitalne przed weryfikacją. Aktywuj sekwencje onboardingu tylko po potwierdzeniu weryfikacji.
Nie ograniczać żądań ponownego wysłania. Ogranicz ponowne wysyłania na adres do np. trzech na godzinę.
Wysyłać linki weryfikacyjne przez HTTP. Zawsze używaj HTTPS — bez wyjątku.
Nie logować zdarzeń weryfikacji. Kiedy token został utworzony, wysłany i kliknięty — niezbędne do diagnostyki.
Używać tego samego tokenu do wielu celów. Oddzielne tokeny do weryfikacji, resetowania hasła i zmiany e-maila.

Blog

Jak zbudować system weryfikacji e-mail, który naprawdę działa