Vérification email : le guide complet 2026

C'est l'objectif numéro 1 historiquement. En forçant une vérification email, un site rend coûteux la création automatisée de comptes : un bot peut générer 10 000 comptes en quelques secondes, mais doit ensuite gérer 10 000 boîtes email actives pour les valider. Le ratio coût/bénéfice rend l'attaque non rentable pour la plupart des cas.

C'est aussi pour cela que les sites bloquent les emails jetables : un email jetable est par définition gratuit et illimité, donc ne fait pas barrière. Les services comme Akismet, FraudLabs, ou Cloudflare maintiennent des blacklists actualisées toutes les heures pour identifier les domaines jetables connus.

Plus pernicieux : la vérification email sert aussi à commencer immédiatement le marketing direct. Une fois votre vraie adresse capturée, vous recevrez : email de bienvenue, série d'onboarding (5 à 12 emails sur 2 semaines), notifications de nouvelles fonctionnalités, relances commerciales, newsletter, alertes "promo dernière chance"...

D'après une étude HubSpot (2024), l'utilisateur moyen reçoit 287 emails marketing par mois dont 60% provient de sites où il s'est inscrit volontairement à un moment donné. Le bouton "se désinscrire" obligatoire (article L34-5 du Code des postes en France) ne fonctionne pas toujours et certains sites le contournent avec des dark patterns.

Certains secteurs sont obligés de vérifier l'email pour des raisons réglementaires : banque (KYC européen, USA Patriot Act), gouvernement (impôts, sécurité sociale), santé (RGPD article 9 sur les données sensibles), gambling (régulation paris en ligne). Dans ces cas, contourner la vérification = fraude, ce qui n'est pas l'objet de ce guide.

Pour ces sites-là, utilisez toujours votre vraie adresse email — et probablement votre vrai nom, votre vraie date de naissance, votre vrai justificatif de domicile. L'email jetable n'a pas sa place dans ces parcours.

Enfin, la vérification email sert à établir une identité minimale traçable. Combinée avec votre IP, votre navigateur, votre comportement de souris (oui, c'est tracké), votre email forme un "fingerprint" qui permet :

• De vous reconnaître entre sites partenaires (recoupement publicitaire)
• De vous bloquer si vous êtes blacklisté (échec de paiement, fraude antérieure)
• De personnaliser votre expérience (prix dynamique : oui, le même billet d'avion peut coûter 20% plus cher selon votre profil)
• De revendre l'identifiant à des courtiers en données

Pour limiter ces 4 usages, l'email jetable est efficace pour les usages 2 et 4 (engagement marketing et revente), partiellement efficace pour l'usage 1 (le site peut bloquer le domaine), et inefficace pour l'usage 3 (les sites légaux n'acceptent pas les jetables).

L'API parse le contenu HTML et texte de l'email reçu pour identifier les patterns courants de codes OTP :

• Codes numériques 4-8 chiffres (le plus courant : 6 chiffres)
• Codes alphanumériques 6-10 caractères
• Codes formatés XX-XX ou XXX-XXX (TikTok, Discord)
• Tokens dans des liens magiques (extrait du paramètre token= ou code= de l'URL)

Une heuristique de scoring est appliquée pour distinguer un code OTP d'un autre chiffre (numéro de référence, date, etc.) en se basant sur le contexte du texte autour (mots comme "code", "OTP", "vérification", "verification", "código", etc.).

Pour les développeurs faisant des tests E2E automatisés avec Playwright, Cypress, Puppeteer, etc :

1. Votre script crée un compte avec username@mail123.fr
2. Le site envoie le code OTP
3. Votre script appelle GET /api/v1/messages/{box} sur l'API
4. Récupère le dernier message, lit son champ otp_code
5. Soumet le code dans le formulaire web
6. Continue le test E2E sans intervention humaine

Workflow complet en moins de 5 secondes. Voir la documentation API pour les détails.

Netflix, Spotify Premium, Amazon Prime, Steam (jeux achetés), Adobe Creative Cloud, abonnements SaaS. Si la boîte expire et que vous avez un problème de paiement (carte expirée, refus banque), vous ne pourrez plus contacter le support. Conséquences typiques :

• Compte suspendu impossible à réactiver
• Prélèvements continuant sans pouvoir résilier en self-service
• Pertes d'achats (jeux Steam = définitivement perdus)

À utiliser à la place : votre vraie adresse OU un alias permanent (Apple Hide My Email, SimpleLogin) qui ne disparaît jamais.

Banques (Société Générale, BNP, Boursorama, Revolut, N26), assurance, crowdfunding, courtiers en ligne (Trade Republic, eToro), plateformes crypto. Ces services exigent KYC (Type 8) et l'email jetable n'y est jamais accepté de toute façon — mais même si ça marchait, ça serait dangereux : la perte d'accès aux notifications de fraude peut coûter cher.

Doctolib, Maiia, Qare, plateformes de téléconsultation, assurance santé, applications de tracking médical (glycémie, tension, fertilité). Ces données sont protégées par le RGPD article 9 (catégorie spéciale). La perte d'accès = perte de l'historique médical = potentiellement dangereux.

LinkedIn, Stack Overflow, GitHub (si pro), Slack workspaces, outils SaaS d'entreprise. Votre carrière dépend de la continuité de ces comptes. Même si LinkedIn n'accepte pas les emails jetables (Type 7), ce serait une mauvaise idée même s'ils le faisaient.

Impôts.gouv, FranceConnect, Pôle Emploi, Ameli, sécurité sociale, Caf, préfecture, Urssaf. Ces services exigent votre vraie identité de toute façon, et la perte d'accès peut avoir des conséquences administratives lourdes (perte de droits, retards de paiement, redressements).

Le RGPD (article 5.1.c) impose le principe de minimisation des données : un service ne doit collecter que les données strictement nécessaires à sa finalité. La CNIL a publiquement encouragé l'usage d'emails jetables et d'alias dans ses recommandations "Maîtriser ses données personnelles" publiées en 2023.

L'utilisation d'un email jetable n'est jamais constitutive d'une infraction pénale. C'est tout au plus une violation des Conditions Générales d'Utilisation d'un service, ce qui relève du droit contractuel (sanction maximum : suppression du compte par le service, jamais sanction pénale).

L'email jetable devient problématique légalement uniquement dans ces cas précis :

• Fraude à la souscription : créer un compte bancaire ou d'assurance avec une fausse identité (l'email n'est qu'un signal, le délit est la fausse déclaration d'identité)
• Évasion fiscale : créer une entreprise avec un email/identité fictifs pour échapper à l'imposition
• Cybercriminalité : phishing, ransomware, harcèlement, doxxing — où l'email jetable sert à dissimuler l'auteur
• Contournement de sanctions : par exemple, créer un compte sur un service avec lequel vous êtes en litige judiciaire

Dans ces 4 cas, ce n'est pas l'email jetable qui est illégal — c'est l'acte criminel qu'il aide à commettre. Le service mail123 ne fournit aucune information ni aucun service à ce type d'usage.

Aux USA, la situation est similaire mais avec quelques spécificités : le CAN-SPAM Act (2003) régule l'envoi d'emails publicitaires mais n'interdit pas l'usage d'emails jetables côté utilisateur. Le COPPA (Children's Online Privacy Protection Act) impose des règles pour les moins de 13 ans, et l'email jetable peut paradoxalement aider à PROTÉGER la vie privée des mineurs.

Endpoints principaux pour les tests E2E :

• POST /api/v1/inboxes — créer une boîte temporaire
• GET /api/v1/messages/{{box}} — lister les messages reçus
• GET /api/v1/messages/{{box}}/{{id}} — détails d'un message avec champ otp_code
• DELETE /api/v1/inboxes/{{box}} — nettoyer la boîte après le test

Sans authentification ni clé API. CORS ouvert. Rate limit : 30 requêtes par heure par IP (largement suffisant pour 100 tests E2E).

test('signup with OTP', async ({ page }) => {
  const username = `test-${Date.now()}`;
  const email = `${username}@mail123.fr`;

  // Inscription
  await page.goto('https://exemple.com/signup');
  await page.fill('[name=email]', email);
  await page.click('button[type=submit]');

  // Récupération OTP
  await page.waitForTimeout(3000); // attendre la livraison
  const res = await fetch(`https://mail123.fr/api/v1/messages/${username}`);
  const messages = await res.json();
  const otp = messages[0].otp_code;

  // Validation
  await page.fill('[name=otp]', otp);
  await page.click('button[type=submit]');
  await expect(page).toHaveURL(/dashboard/);
});

Pour Cypress / Puppeteer / Selenium, le pattern est identique : créer une boîte unique, attendre la livraison, fetch l'API, extraire l'OTP, valider.

Pour intégrer ces tests dans une pipeline CI (GitHub Actions, GitLab CI, Jenkins) :

• Pas de gestion de credentials : pas de clés API, pas de mots de passe à stocker
• Pas de side-effects : chaque test utilise une boîte unique, pas de pollution
• Reset automatique : les boîtes expirent après 7 jours, pas besoin de cleanup explicite
• Tests parallèles : 30 req/h par IP suffisent pour 50+ tests parallèles si timesharing

Coût : 0 €. C'est un des seuls services d'email temporaire vraiment exploitable en CI sans payer (vs services concurrents à 30-100 €/mois pour le même volume).