E-Mail-Verifizierung: der vollständige Leitfaden 2026

Das ist historisch das Ziel Nummer 1. Indem eine Website eine E-Mail-Verifizierung erzwingt, macht sie die automatisierte Kontoerstellung teuer: Ein Bot kann in wenigen Sekunden 10.000 Konten erzeugen, muss dann aber 10.000 aktive E-Mail-Postfächer verwalten, um sie zu validieren. Das Kosten-Nutzen-Verhältnis macht den Angriff in den meisten Fällen unrentabel.

Auch deshalb blockieren Websites Wegwerf-E-Mails: eine Wegwerf-E-Mail ist per Definition kostenlos und unbegrenzt und stellt daher keine Hürde dar. Dienste wie Akismet, FraudLabs oder Cloudflare pflegen stündlich aktualisierte Blacklists, um bekannte Wegwerf-Domains zu identifizieren.

Perfider: Die E-Mail-Verifizierung dient auch dazu, sofort mit dem Direktmarketing zu beginnen. Sobald Ihre echte Adresse erfasst ist, erhalten Sie: Begrüßungs-E-Mail, Onboarding-Serie (5 bis 12 E-Mails über 2 Wochen), Benachrichtigungen über neue Funktionen, Werbe-Erinnerungen, Newsletter, "Letzte Chance"-Aktionswarnungen ...

Laut einer HubSpot-Studie (2024) erhält der durchschnittliche Nutzer 287 Marketing-E-Mails pro Monat, davon 60 % von Websites, bei denen er sich irgendwann freiwillig angemeldet hat. Der gesetzlich vorgeschriebene Button "Abmelden" (Artikel L34-5 des Code des postes in Frankreich) funktioniert nicht immer, und manche Websites umgehen ihn mit Dark Patterns.

Manche Branchen sind aus regulatorischen Gründen verpflichtet, die E-Mail zu verifizieren: Banken (europäisches KYC, USA Patriot Act), Behörden (Steuern, Sozialversicherung), Gesundheit (DSGVO Artikel 9 zu sensiblen Daten), Glücksspiel (Regulierung von Online-Wetten). In diesen Fällen ist das Umgehen der Verifizierung = Betrug, was nicht Gegenstand dieses Leitfadens ist.

Für diese Websites verwenden Sie immer Ihre echte E-Mail-Adresse – und wahrscheinlich Ihren echten Namen, Ihr echtes Geburtsdatum, Ihren echten Wohnsitznachweis. Die Wegwerf-E-Mail hat in diesen Abläufen nichts zu suchen.

Schließlich dient die E-Mail-Verifizierung dazu, eine minimale, nachverfolgbare Identität zu etablieren. Kombiniert mit Ihrer IP, Ihrem Browser und Ihrem Mausverhalten (ja, das wird getrackt) bildet Ihre E-Mail einen "Fingerabdruck", der Folgendes ermöglicht:

• Sie zwischen Partner-Websites wiederzuerkennen (werbliche Verknüpfung)
• Sie zu blockieren, falls Sie auf einer Blacklist stehen (gescheiterte Zahlung, früherer Betrug)
• Ihr Erlebnis zu personalisieren (dynamische Preise: ja, dasselbe Flugticket kann je nach Profil 20 % mehr kosten)
• die Kennung an Datenbroker weiterzuverkaufen

Um diese 4 Verwendungen einzuschränken, ist die Wegwerf-E-Mail wirksam für die Verwendungen 2 und 4 (Marketing-Engagement und Weiterverkauf), teilweise wirksam für Verwendung 1 (die Website kann die Domain blockieren) und unwirksam für Verwendung 3 (legale Websites akzeptieren keine Wegwerf-Adressen).

Die API parst den HTML- und Textinhalt der empfangenen E-Mail, um die gängigen Muster von OTP-Codes zu identifizieren:

• Numerische Codes mit 4–8 Ziffern (am häufigsten: 6 Ziffern)
• Alphanumerische Codes mit 6–10 Zeichen
• Formatierte Codes XX-XX oder XXX-XXX (TikTok, Discord)
• Tokens in Magic Links (aus dem Parameter token= oder code= der URL extrahiert)

Eine Scoring-Heuristik wird angewendet, um einen OTP-Code von einer anderen Zahl (Referenznummer, Datum usw.) zu unterscheiden, basierend auf dem umgebenden Textkontext (Wörter wie "Code", "OTP", "Verifizierung", "verification", "código" usw.).

Für Entwickler, die automatisierte E2E-Tests mit Playwright, Cypress, Puppeteer usw. durchführen:

1. Ihr Skript erstellt ein Konto mit username@mail123.fr
2. Die Website sendet den OTP-Code
3. Ihr Skript ruft GET /api/v1/messages/{box} der API auf
4. Ruft die letzte Nachricht ab und liest ihr Feld otp_code
5. Übermittelt den Code im Webformular
6. Setzt den E2E-Test ohne menschliches Eingreifen fort

Vollständiger Workflow in weniger als 5 Sekunden. Siehe die API-Dokumentation für Details.

Netflix, Spotify Premium, Amazon Prime, Steam (gekaufte Spiele), Adobe Creative Cloud, SaaS-Abonnements. Wenn das Postfach abläuft und Sie ein Zahlungsproblem haben (abgelaufene Karte, Ablehnung durch die Bank), können Sie den Support nicht mehr kontaktieren. Typische Folgen:

• Gesperrtes Konto, das sich nicht reaktivieren lässt
• Fortlaufende Abbuchungen ohne Möglichkeit zur Selbstkündigung
• Verlust von Käufen (Steam-Spiele = endgültig verloren)

Stattdessen zu verwenden: Ihre echte Adresse ODER ein permanenter Alias (Apple "E-Mail-Adresse verbergen", SimpleLogin), der nie verschwindet.

Banken (Société Générale, BNP, Boursorama, Revolut, N26), Versicherungen, Crowdfunding, Online-Broker (Trade Republic, eToro), Krypto-Plattformen. Diese Dienste verlangen KYC (Typ 8), und die Wegwerf-E-Mail wird dort ohnehin nie akzeptiert – aber selbst wenn es funktionieren würde, wäre es gefährlich: Der Verlust des Zugriffs auf Betrugswarnungen kann teuer werden.

Doctolib, Maiia, Qare, Telekonsultationsplattformen, Krankenversicherung, Apps zur medizinischen Verlaufskontrolle (Blutzucker, Blutdruck, Fruchtbarkeit). Diese Daten sind durch die DSGVO Artikel 9 (besondere Kategorie) geschützt. Der Verlust des Zugriffs = Verlust des medizinischen Verlaufs = potenziell gefährlich.

LinkedIn, Stack Overflow, GitHub (wenn beruflich), Slack-Workspaces, Unternehmens-SaaS-Tools. Ihre Karriere hängt von der Kontinuität dieser Konten ab. Selbst wenn LinkedIn keine Wegwerf-E-Mails akzeptiert (Typ 7), wäre es eine schlechte Idee, selbst wenn es das täte.

Impôts.gouv, FranceConnect, Pôle Emploi, Ameli, Sozialversicherung, Caf, Präfektur, Urssaf. Diese Dienste verlangen ohnehin Ihre echte Identität, und der Verlust des Zugriffs kann schwerwiegende verwaltungstechnische Folgen haben (Verlust von Ansprüchen, Zahlungsverzögerungen, Nachforderungen).

Die DSGVO (Artikel 5.1.c) schreibt den Grundsatz der Datenminimierung vor: Ein Dienst darf nur die Daten erheben, die für seinen Zweck unbedingt erforderlich sind. Die CNIL hat in ihren 2023 veröffentlichten Empfehlungen "Maîtriser ses données personnelles" die Nutzung von Wegwerf-E-Mails und Aliassen öffentlich befürwortet.

Die Nutzung einer Wegwerf-E-Mail stellt niemals eine Straftat dar. Sie ist allenfalls ein Verstoß gegen die Allgemeinen Nutzungsbedingungen eines Dienstes, was dem Vertragsrecht unterliegt (maximale Sanktion: Löschung des Kontos durch den Dienst, niemals strafrechtliche Sanktion).

Die Wegwerf-E-Mail wird nur in diesen genau bestimmten Fällen rechtlich problematisch:

• Abschlussbetrug: ein Bank- oder Versicherungskonto mit falscher Identität erstellen (die E-Mail ist nur ein Signal, die Straftat ist die falsche Identitätsangabe)
• Steuerhinterziehung: ein Unternehmen mit fiktiver E-Mail/Identität gründen, um sich der Besteuerung zu entziehen
• Cyberkriminalität: Phishing, Ransomware, Belästigung, Doxing – wo die Wegwerf-E-Mail dazu dient, den Täter zu verschleiern
• Umgehung von Sanktionen: zum Beispiel ein Konto bei einem Dienst erstellen, mit dem Sie einen Rechtsstreit führen

In diesen 4 Fällen ist nicht die Wegwerf-E-Mail illegal – sondern die kriminelle Handlung, bei der sie hilft. Der Dienst mail123 stellt für diese Art der Nutzung keinerlei Informationen oder Dienste bereit.

In den USA ist die Lage ähnlich, aber mit einigen Besonderheiten: Der CAN-SPAM Act (2003) regelt den Versand von Werbe-E-Mails, verbietet aber nicht die Nutzung von Wegwerf-E-Mails auf Nutzerseite. Der COPPA (Children's Online Privacy Protection Act) schreibt Regeln für unter 13-Jährige vor, und die Wegwerf-E-Mail kann paradoxerweise dazu beitragen, die Privatsphäre Minderjähriger zu SCHÜTZEN.

Wichtigste Endpunkte für E2E-Tests:

• POST /api/v1/inboxes – ein temporäres Postfach erstellen
• GET /api/v1/messages/{{box}} – die empfangenen Nachrichten auflisten
• GET /api/v1/messages/{{box}}/{{id}} – Details einer Nachricht mit Feld otp_code
• DELETE /api/v1/inboxes/{{box}} – das Postfach nach dem Test bereinigen

Ohne Authentifizierung oder API-Schlüssel. CORS offen. Rate-Limit: 30 Anfragen pro Stunde pro IP (mehr als ausreichend für 100 E2E-Tests).

test('signup with OTP', async ({ page }) => {
  const username = `test-${Date.now()}`;
  const email = `${username}@mail123.fr`;

  // Registrierung
  await page.goto('https://exemple.com/signup');
  await page.fill('[name=email]', email);
  await page.click('button[type=submit]');

  // OTP-Abruf
  await page.waitForTimeout(3000); // auf Zustellung warten
  const res = await fetch(`https://mail123.fr/api/v1/messages/${username}`);
  const messages = await res.json();
  const otp = messages[0].otp_code;

  // Validierung
  await page.fill('[name=otp]', otp);
  await page.click('button[type=submit]');
  await expect(page).toHaveURL(/dashboard/);
});

Für Cypress / Puppeteer / Selenium ist das Muster identisch: ein eindeutiges Postfach erstellen, auf die Zustellung warten, die API abfragen, das OTP extrahieren, validieren.

Um diese Tests in eine CI-Pipeline (GitHub Actions, GitLab CI, Jenkins) zu integrieren:

• Keine Verwaltung von Zugangsdaten: keine API-Schlüssel, keine zu speichernden Passwörter
• Keine Seiteneffekte: Jeder Test verwendet ein eindeutiges Postfach, keine Verunreinigung
• Automatisches Zurücksetzen: Die Postfächer laufen nach 7 Tagen ab, keine explizite Bereinigung nötig
• Parallele Tests: 30 Anfragen/Std. pro IP reichen für 50+ parallele Tests bei Timesharing

Kosten: 0 €. Es ist einer der wenigen Dienste für temporäre E-Mails, der ohne Bezahlung wirklich in der CI nutzbar ist (gegenüber Wettbewerbern mit 30–100 €/Monat für dasselbe Volumen).