What is a temporary email address?

A temporary email address is a real, working inbox that receives emails like any normal address. It does not require an account or registration. The inbox automatically deletes itself after one hour.

Is TempEmail free to use?

Yes. TempEmail is completely free. There are no plans, no usage limits, and no credit card required.

How long does a temporary email inbox last?

The inbox stays active for one hour from when it was created. After that, the address and all emails in it are permanently deleted. You can bookmark the page URL to return to the same inbox within that window.

Can I choose my own temporary email address?

Not at the moment. Addresses are randomly generated each time you visit. Custom addresses are planned for a future update.

Can I send emails from a temporary email address?

No. TempEmail is a receive-only inbox. You can read emails sent to your temporary address but you cannot send emails from it.

What are legitimate uses for a temporary email address?

Common legitimate uses include testing your own application's email flows, signing up as a new user to test your product's onboarding experience, protecting your inbox while researching vendors or services, short-term project registrations, and maintaining privacy on public or shared computers.

Why didn't I receive the email I was expecting?

Some services actively block disposable or temporary email domains. If you did not receive an expected email, the sender may have rejected the address. This is the sender's decision and cannot be overridden.

Is my temporary email inbox private?

The inbox has no password, but the address is randomly generated and long enough that it cannot realistically be guessed. Do not use it for anything sensitive like banking or private communications.

Can I use TempEmail on my phone?

Yes. TempEmail works on any device with a browser, including mobile phones and tablets. Copy the address and emails will appear in real time just like on desktop.

Geliştirici olarak parola sıfırlama akışlarını test etme

Parola sıfırlama testleri neden ihmal edilir

Çoğu geliştirici parola sıfırlama akışını kendi e-posta adresiyle bir kez test eder ve tamamlandı sayar. Beşinci test çalışmasından sonra gelen kutunuz aynı görünen "Parolanızı sıfırlayın" mesajlarıyla dolup taşar. Hangi bağlantının hangi çalışmaya ait olduğunu takip edemezsiniz ve sonunda çok sinir bozucu olduğu için kapsamlı testleri bırakırsınız. Tam olarak bu tür umursamazlık, ciddi hataların üretime girmesine izin verir.

Parola sıfırlama akışında gerçekte ne test etmeniz gerekiyor

Basit bir "e-posta gönderiyor mu" kontrolü yeterli değildir. OWASP Authentication Cheat Sheet, kapsamlı gereksinimler listesi açıklar:

E-posta teslimi — sıfırlama e-postası geliyor mu, ve hızlı mı geliyor?
Bağlantı doğruluğu — e-postadaki bağlantı doğru jeton ile doğru sayfaya gidiyor mu?
Jeton süresi dolumu — 25 saat sonra bağlantıya tıklandığında süresi dolmuş jeton doğru reddediliyor mu?
Tek kullanım — aynı sıfırlama bağlantısı iki kez kullanılabiliyor mu? Kullanılmamalı.
Yeni istekte jeton geçersizleştirme — kullanıcı tekrar sıfırlama isterse ilk jeton geçersiz hale geliyor mu?
SSO hesapları — OAuth ile kayıtlı kullanıcılar için ne oluyor?
Hız sınırlaması — adres başına sıfırlama isteklerine sınır var mı?

Geçici e-posta yaklaşımı — adım adım

En temiz çözüm, her test çalışması için yeni bir geçici e-posta adresi kullanmaktır. Geçici bir gelen kutusu açın, adresi kopyalayın, uygulamanızda bir test hesabı kaydedin, sıfırlama tetikleyin ve e-postanın gerçek zamanlı olarak gelmesini izleyin. Bağlantıya tıklayın, tam akışı doğrulayın ve girişin çalıştığını onaylayın. Başka bir senaryo için sadece yeni bir tarayıcı sekmesi açın.

Kod tabanınıza hiçbir zaman bir test e-posta adresi sabit kodlamayın. Her seferinde yeni bir geçici posta gelen kutusu kullanın — gerçek teslimatı test ettiğinizi ve her zaman temiz bir durumla başladığınızı garanti eder.

Jeton güvenlik kontrol listesi

Parola sıfırlama jetonları yaygın bir saldırı yüzeyidir. OWASP'a göre güvenli bir uygulama şunları karşılamalıdır:

En az 32 karakter, kriptografik olarak rastgele oluşturulmuş
24 saat içinde sona ermeli, ideal olarak 1 saat içinde
Tek kullanımlık — kullanımdan hemen sonra geçersiz
Yeni bir sıfırlama istendiğinde geçersiz hale gelmeli
E-posta adresi başına hız sınırlamalı
Hiçbir zaman düz metin olarak kaydedilmemeli

Parola sıfırlamayı regresyon paketinize dahil edin

Parola sıfırlama, kimlik doğrulama kütüphaneleri güncellendiğinde sessizce bozulur. En azından temel bir uçtan uca test ekleyin: programatik olarak bir test hesabı oluşturun, sıfırlama tetikleyin, giden e-postayı yakalayın ve jetonu doğrulayın. MXToolbox ile etki alanınızın kimlik doğrulama yapılandırmasını kontrol edin ve gerçek güvenlik ihlalleri hakkında derinlemesine perspektif için Troy Hunt'ın bloguna bakın.

Blog

Gerçek gelen kutunuzu kullanmadan parola sıfırlama akışlarını test etme

Parola sıfırlama testleri neden ihmal edilir

Parola sıfırlama akışında gerçekte ne test etmeniz gerekiyor

Geçici e-posta yaklaşımı — adım adım

Jeton güvenlik kontrol listesi

Parola sıfırlamayı regresyon paketinize dahil edin