What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

Testar fluxos de redefinição de senha como desenvolvedor

Por que o teste de redefinição de senha é negligenciado

A maioria dos desenvolvedores testa o fluxo de redefinição uma vez com seu próprio endereço de email e considera concluído. Após a quinta execução de teste, a caixa de entrada está repleta de mensagens idênticas de "Redefina sua senha". Perde-se o controle de qual link pertence a qual execução e, eventualmente, para-se de testar minuciosamente porque se tornou chato. Exatamente esse tipo de complacência deixa bugs graves entrarem em produção.

O que você realmente precisa testar em um fluxo de redefinição

Uma simples verificação "envia um email?" não é suficiente. O OWASP Authentication Cheat Sheet descreve um conjunto abrangente de requisitos:

Entrega do email — o email de redefinição chega, e rapidamente?
Correção do link — o link leva à página correta com o token correto?
Expiração do token — um token expirado é corretamente rejeitado após 25 horas?
Uso único — o mesmo link de redefinição pode ser usado duas vezes? Não deveria.
Invalidação ao novo pedido — o primeiro token fica inválido se o usuário solicitar outra redefinição?
Contas SSO — o que acontece com usuários registrados via OAuth?
Limitação de taxa — há limite nas solicitações de redefinição por endereço?

A abordagem do email temporário — passo a passo

A solução mais limpa é um endereço de email temporário novo para cada execução de teste. Abra uma caixa de entrada temporária, copie o endereço, registre uma conta de teste no seu aplicativo, acione uma redefinição e observe o email chegar em tempo real. Clique no link, verifique o fluxo completo e confirme que o login funciona. Para outro cenário, simplesmente abra uma nova aba do navegador.

Nunca codifique um endereço de email de teste no seu código. Use uma caixa de entrada de email temporário nova a cada vez — garante que você está testando entrega real e sempre começa com um estado limpo.

A lista de verificação de segurança do token

Os tokens de redefinição de senha são uma superfície de ataque comum. De acordo com OWASP, uma implementação segura deve:

Pelo menos 32 caracteres, gerados criptograficamente de forma aleatória
Expirar em 24 horas, idealmente em 1 hora
Ser de uso único — invalidado imediatamente após resgate
Ser invalidado quando uma nova redefinição é solicitada
Ter limite de taxa por endereço de email
Nunca ser registrado em texto simples

Inclua a redefinição de senha na sua suite de regressão

A redefinição de senha quebra silenciosamente quando as bibliotecas de autenticação são atualizadas. Adicione pelo menos um teste básico de ponta a ponta: crie programaticamente uma conta de teste, acione uma redefinição, intercepte o email de saída e verifique o token. Verifique a configuração de autenticação do seu domínio com MXToolbox e consulte Troy Hunt para perspectiva sobre brechas de segurança reais.

Blog

Como testar fluxos de redefinição de senha sem usar sua caixa de entrada real

Por que o teste de redefinição de senha é negligenciado

O que você realmente precisa testar em um fluxo de redefinição

A abordagem do email temporário — passo a passo

A lista de verificação de segurança do token

Inclua a redefinição de senha na sua suite de regressão