What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

Bygga ett e-postverifieringssystem som fungerar

Varför e-postverifiering är viktigare än du kanske tror

E-postverifiering fyller tre huvudsyften. Först bekräftar det att användaren faktiskt kontrollerar den angivna adressen — skrivfel som [email protected] är förvånansvärt vanliga. Sedan förhindrar det automatiserad masskontoregistrering av bottar som använder falska eller engångsadresser. Tredje orsaken — den som oftast underskattas — är att en verifierad e-postadress är en säkerhetsförutsättning för lösenordsåterställning. Utan verifiering kan en angripare registrera någon annans adress och utlösa ett återställningsmail dit. OWASP Authentication Cheat Sheet täcker dessa risker utförligt.

Det fullständiga verifieringsflödet steg för steg

E-posttransportprotokollet definieras i RFC 5321 — men besluten på applikationsnivå är helt upp till dig. Varje steg spelar roll:

Användaren skickar registreringsformuläret. Validera e-postformatet på serversidan — inte bara klientsidan.
Generera en kryptografiskt slumpmässig token. Ingen UUID, inget sekventiellt ID, ingen tidsstämpel — genuin kryptografisk slumpmässighet med minst 32 bytes entropi.
Lagra token-hashen i databasen. Spara SHA-256-hashen av token, inte råtoken — tillsammans med användar-ID, skapandetidsstämpel, utgångstid och ett "använt"-flagg.
Skicka verifieringsmailen. Länken innehåller råtoken som frågeparameter. Använd alltid HTTPS.
Användaren klickar länken. Servern tar emot råtoken i frågesträngen.
Validera token. Hasha inkommande token, hitta matchningen i databasen, kontrollera utgångstid och "använt"-status.
Vid framgång: markera e-postadressen som verifierad, sätt token som använt, logga in användaren.
Vid misslyckande: visa ett specifikt, handlingsorienterat felmeddelande med en länk för att begära ett nytt verifieringsmail.

Säker tokengenerering

Det vanligaste misstaget är att använda UUID v4 som verifieringstoken. UUID är bra för databasidentifierare men inte designade som säkerhetstokens. Rätt tillvägagångssätt: använd din körtids kryptografiska slumptalsgenerator. I Node.js: crypto.randomBytes(32).toString('hex'). I Python: secrets.token_urlsafe(32). I .NET: RandomNumberGenerator.GetBytes(32). OWASP Authentication Cheat Sheet rekommenderar minst 32 bytes (256 bitar) entropi.

Lagra SHA-256-hashen i databasen och skicka råtoken i maillänken. Vid validering hashas inkommande token och jämförs med lagrad hash. Om en angripare får databasåtkomst är hasherna värdelösa. Använd tidskonstanta jämförelsefunktioner: crypto.timingSafeEqual() i Node.js, hmac.compare_digest() i Python.

Token-utgångstider — rätt detaljer

24 till 48 timmar är branschstandard för token-utgångstider. Tillräckligt lång tid för en användare som registrerar sig på kvällen att kolla mailen nästa morgon. Tillräckligt kort för att begränsa en stulen tokens användningsfönster. Kommunicera utgångstiden tydligt i mailet: "Den här verifieringslänken går ut om 24 timmar."

Att testa verifieringsflödet ordentligt

Varje förändring i verifieringsflödet bör testas med ett riktigt mail till en riktig inkorg. Öppna en tillfällig e-postadress, registrera ett testkonto och se verifieringsmailen anlända i realtid. Det bevisar slutgiltigt att mailen faktiskt levereras — inte bara köas hos sändningsleverantörens API.

Happy path: registrering, ta emot mail, klicka länk, konto verifierat
Utgången token: sätt utgångstiden till det förflutna i databasen, klicka länken — tydligt felmeddelande med resend-alternativ
Redan använd token: klicka samma länk två gånger — inget fel, utan "redan verifierat"-meddelande
Manipulerad token: ändra tokenvärdet i URL:en — tydligt felmeddelande
Resend-flöde: begär nytt mail, bekräfta ny länk, verifiera att gammal länk inte fungerar

Det viktigaste testet innan driftsättning: öppna en tillfällig e-postadress, registrera ett testkonto, bekräfta att verifieringsmailen anländer inom några sekunder, klicka länken och verifiera att kontot markeras som bekräftat i databasen. Det här end-to-end-testet fångar leveransproblem, template-fel och trasig länkgenerering — alla osynliga för enhetstester. Kör det vid varje driftsättning.

E-postautentisering: SPF, DKIM och DMARC

Utan korrekt e-postautentisering hamnar verifieringsmail i skräppost. SPF auktoriserar mailservrar via en DNS TXT-post. DKIM lägger till en kryptografisk signatur. DMARC definierar policyn när SPF eller DKIM misslyckas. Använd MXToolbox för att kontrollera alla tre konfigurationerna. Läs om e-postautentisering i dokumentationen hos din sändningsleverantör.

Vanliga misstag

Inte invalidera token efter användning. Sätt alltid "använt"-flagget och kontrollera det vid varje validering.
Skicka välkomstmail innan verifiering. Aktivera onboarding-sekvenser först efter bekräftad verifiering.
Inte rate-limitera resend-endpointen. Begränsa resend-förfrågningar per adress till exempelvis tre per timme.
Skicka verifieringslänkar via HTTP. Använd alltid HTTPS — utan undantag.
Inte logga verifieringshändelser. När token skapades, skickades och klickades — avgörande för felsökning.
Använda samma token för flera syften. Separata tokens för verifiering, lösenordsåterställning och e-postbyte.

Blog

Hur man bygger ett e-postverifieringssystem som faktiskt fungerar