Verificação de email: o guia completo 2026
Todos os tipos de verificação, como usá-los legalmente, e quando um email temporário basta
Redigido pela equipa mail123.fr
Atualizado : 2026-05-20
Verificado
Porquê tantas verificações de email hoje?
Em 2026, quase todos os serviços online pedem verificação de email no cadastro. Por trás de cada código OTP ou link mágico escondem-se 4 objetivos muito diferentes para o site que os desenvolve.
Lutar contra spam e bots
Objectivo nº1 historicamente. Ao forçar verificação, um site torna cara a criação automatizada de contas. Por isso os sites bloqueiam os emails descartáveis: são gratuitos e ilimitados por definição.
Maximizar o engagement pós-cadastro
Mais pernicioso: a verificação email também serve para iniciar imediatamente o marketing directo. Email de boas-vindas, série de onboarding, notificações, newsletters. Um usuário médio recebe 287 emails de marketing por mês.
Obrigações legais
Alguns sectores são obrigados pela regulação: banca (KYC), governo, saúde (RGPD artigo 9), apostas online. Nesses casos, contornar a verificação = fraude.
Identidade = moeda de troca
A verificação email estabelece uma identidade mínima rastreável. Combinada com o IP, o navegador, e o comportamento do mouse, forma um "fingerprint" que permite reconhecer entre sites, bloquear se estiver em lista negra, personalizar (preços dinâmicos), e revender.
Os 8 tipos de verificação de email existentes
Nem todos os sites usam o mesmo mecanismo. Aqui os 8 padrões, do mais permissivo ao mais estrito.
Tipo 1 — Código OTP por email (o mais comum)
✅ Email descartável aceite
O padrão mais difundido: introduz o seu endereço, o site envia um código de 4-8 dígitos por email, copia-o, validado. 10-30 segundos.
Compatibilidade descartável
Excelente — o tipo mais permissivo. Os sites que usam este padrão geralmente não controlam o domínio.
Sites que o usam
Reddit, TikTok, Pinterest, Mastodon, Bluesky, Spotify, Twitch.
👉 Para programadores: a nossa API extrai automaticamente os códigos OTP (campo otp_code no JSON).
Tipo 2 — Link mágico
✅ Email descartável aceite
Em vez de um código, o site envia um link de uso único. Sites: Notion, Slack, Substack, Medium.
👉 Compatibilidade total.
Tipo 3 — Duplo opt-in (newsletters e RGPD)
✅ Email descartável aceite
Específico para newsletters. Imposto pelo RGPD artigo 7. Mailchimp, Substack, Brevo nunca bloqueiam descartáveis.
👉 Crie várias caixas temporárias para testar workflows concorrentes.
Tipo 4 — Captcha + verificação email
✅ Email descartável aceite (com condições)
Em sites de alto risco de spam, captcha ANTES do envio OTP. Triggers: movimento do mouse linear demais, IP de datacenter, user-agent não padrão. Se resolver bem o captcha, o descartável passa normalmente.
Tipo 5 — Verificação SMS / telefone
⚠️ Email descartável insuficiente
Cada vez mais sites duplicam a verificação email com SMS. Twitter/X, Snapchat, BeReal.
Alternativas
- Número virtual: MySudo (5 €/mês), TextNow
- SIM física pré-paga
- eSIM (Airalo)
👉 Combinar email + número virtual = anonimização forte.
Tipo 6 — Autenticação de 2 fatores (2FA)
⚠️ Email descartável arriscado
A 2FA chega DEPOIS do cadastro. Três variantes: por email (arriscado se a caixa expirar), por app (Aegis, Authy — recomendado), por SMS.
👉 Active 2FA por app, não por email. Guarde os códigos de recuperação.
Tipo 7 — Domínio de empresa obrigatório
❌ Email descartável bloqueado
Alguns serviços B2B exigem domínio de empresa reconhecida. Impossível com gmail.com ou descartável.
Tipo 8 — KYC completo (email + ID + selfie)
❌ Email descartável inútil (identidade real obrigatória)
Mais estrito, para serviços regulados: bancos, fintech (Revolut, N26), crypto (Binance, Coinbase), apostas. Verifica email, telefone, documento de identidade, selfie ao vivo, comprovativo de morada.
👉 Email descartável não tem lugar aqui.
30 sites populares: tipo de verificação e compatibilidade descartável
Tabela de referência testada em maio 2026.
| Site |
Tipo |
Compatibilidade descartável |
Notas |
| Reddit |
Type 1 |
✅ Total
|
OTP optionnel à l'inscription |
| TikTok |
Type 1 |
✅ Total
|
OTP 6 chiffres, livraison rapide |
| Pinterest |
Type 1 |
✅ Total
|
OTP standard |
| Mastodon |
Type 1 |
✅ Total
|
OTP, parfois approbation admin |
| Bluesky |
Type 1 |
✅ Total
|
OTP standard |
| Notion |
Type 2 |
✅ Total
|
Lien magique exclusif |
| Substack |
Type 2 |
✅ Total
|
Lien magique pour login |
| Slack |
Type 2 |
✅ Total
|
Lien magique workspace |
| Medium |
Type 2 |
✅ Total
|
Lien magique standard |
| Mailchimp |
Type 3 |
✅ Total
|
Double opt-in RGPD |
| Spotify |
Type 1 |
✅ Total
|
OTP gratuit OK, évitez Premium |
| Twitch |
Type 1 |
✅ Total
|
OTP standard |
| Discord |
Type 4 |
⚠️ Modérée
|
Captcha + OTP, certains domaines bloqués |
| Instagram |
Type 4 |
⚠️ Modérée
|
Captcha + OTP, filtre Meta actif |
| Twitter/X |
Type 5 |
❌ Stricte
|
OTP + téléphone obligatoire |
| Snapchat |
Type 5 |
❌ Stricte
|
OTP + téléphone obligatoire |
| BeReal |
Type 5 |
❌ Stricte
|
Téléphone uniquement, pas d'email |
| Google/Gmail |
Type 7 |
❌ Stricte
|
99% des jetables rejetés |
| YouTube |
Type 7 |
❌ Stricte
|
Compte Google requis |
| LinkedIn |
Type 7 |
❌ Stricte
|
Blacklist Microsoft active |
| Outlook/Hotmail |
Type 7 |
❌ Stricte
|
Filtre Microsoft strict |
| Apple iCloud |
Type 7 |
❌ Stricte
|
Filtre Apple strict |
| Revolut |
Type 8 |
❌ Stricte
|
KYC complet bancaire |
| Binance |
Type 8 |
❌ Stricte
|
KYC complet crypto |
| Coinbase |
Type 8 |
❌ Stricte
|
KYC complet crypto |
| Netflix |
Type 1 |
❌ Stricte
|
Techniquement OK mais déconseillé (paiement) |
| Amazon |
Type 1 |
❌ Stricte
|
Techniquement OK mais déconseillé (achats) |
| Steam |
Type 1 |
❌ Stricte
|
Techniquement OK mais déconseillé (jeux) |
| PayPal |
Type 8 |
❌ Stricte
|
KYC + données bancaires |
| Patreon |
Type 1 |
✅ Total
|
OTP standard, OK pour suivi |
OTP automático: a vantagem técnica da nossa API
Especificidade única da nossa API: extracção automática de códigos OTP. Cada mensagem contém um campo otp_code.
Como funciona
A API analisa o conteúdo para identificar padrões OTP: códigos numéricos 4-8 dígitos, alfanuméricos, formatos XX-XX (TikTok, Discord), tokens em links mágicos. Heurística baseada em contexto.
Uso prático
Para testes E2E automatizados:
- O seu script cria conta com
username@mail123.com.br - Site envia OTP
- Script chama
GET /api/v1/messages/{box} - Lê o campo
otp_code - Envia o código no formulário
Fluxo completo em menos de 5 segundos. Ver documentação API.
Quando o email descartável não é a solução certa
5 situações onde precisa de outra estratégia.
Contas com pagamento recorrente
Netflix, Spotify Premium, Amazon Prime, Steam. Se a caixa expirar e houver problema de pagamento, não poderá contactar suporte. Compras Steam = perdidas para sempre.
Tudo relacionado com dinheiro
Bancos, seguros, crowdfunding, brokers online, plataformas crypto. Exigem KYC.
Dados médicos e de saúde
Plataformas de teleconsulta, seguro de saúde, apps de tracking médico. Dados protegidos por RGPD artigo 9.
Contas profissionais
LinkedIn, Stack Overflow, GitHub (se pro), Slack, SaaS empresarial. A sua carreira depende da continuidade.
Serviços governamentais
Receita Federal, INSS, SUS, governo.br. Estes serviços exigem a sua identidade real.
Aspecto legal: o que diz a lei
Usar email descartável para a maioria dos cadastros na internet é perfeitamente legal.
No Brasil e na União Europeia
O RGPD (artigo 5.1.c) impõe minimização de dados. A ANPD encorajou publicamente o uso de emails descartáveis e aliases.
Usar email descartável nunca é infração penal. No máximo violação dos Termos de Uso.
Excepções onde é ilegal
Apenas problemático nestes casos: fraude de assinatura (banca com identidade falsa), evasão fiscal, cibercrime (phishing, ransomware), evasão de sanções. Nestes casos não é o email que é ilegal, mas o acto criminal.
Nos EUA
Situação semelhante. CAN-SPAM Act (2003) regula envio de marketing mas não proíbe uso de descartáveis pelo usuário. COPPA impõe regras para menores de 13 anos, onde o descartável pode paradoxalmente ajudar a PROTEGER a privacidade.
Ferramentas e boas práticas para programadores
Stack moderno para automatizar workflows de cadastro.
API: referência rápida
Endpoints principais:
POST /api/v1/inboxes — criar caixa temporáriaGET /api/v1/messages/{{box}} — listar mensagensGET /api/v1/messages/{{box}}/{{id}} — detalhes com otp_codeDELETE /api/v1/inboxes/{{box}} — limpar após teste
Sem autenticação. CORS aberto. 30 req/h por IP.
Exemplo Playwright
test('signup with OTP', async ({ page }) => {
const username = `test-${Date.now()}`;
const email = `${username}@mail123.com.br`;
await page.goto('https://exemplo.com/signup');
await page.fill('[name=email]', email);
await page.click('button[type=submit]');
await page.waitForTimeout(3000);
const res = await fetch(`https://mail123.com.br/api/v1/messages/${username}`);
const otp = (await res.json())[0].otp_code;
await page.fill('[name=otp]', otp);
await page.click('button[type=submit]');
});
Integração CI/CD
Vantagens: sem gestão de credenciais, sem efeitos secundários, reset automático em 7 dias, testes paralelos. Custo: 0 €.
Perguntas frequentes sobre verificação email
Porque é que um site me envia OTP em vez de link mágico?
Escolha de UX. OTPs são mais universais mas requerem cópia. Links mágicos são mais fluidos mas podem falhar entre dispositivos.
Quanto tempo é válido um código OTP?
Geralmente entre 5 e 30 minutos. Em bancos, apenas 90 segundos.
Pode um email descartável receber OTPs de todos os sites?
Tecnicamente sim, desde que o site não tenha bloqueado o seu domínio. Tipos 1-4 quase sempre aceitam, Tipos 5-8 nunca.
Porque não recebo o meu código OTP?
5 causas: (1) site bloqueou o seu domínio (mude entre os 12 domínios disponíveis), (2) código em spam, (3) recusa silenciosa, (4) fora do prazo, (5) problema no servidor.
A extracção automática de OTP funciona a 100%?
Muito boa mas não perfeita. ~95% dos emails padrão. Para os 5% restantes, parseio manual via API.
Pode-se usar email descartável para conta com assinatura paga?
Tecnicamente sim, legalmente sim, mas fortemente desaconselhado. Perda de acesso à caixa pode significar perda da conta paga.
Que risco corre um site bloqueando descartáveis agressivamente?
Perda de usuárioes legítimos. Muitos usam descartáveis por razões válidas.
Como saber se um site enviará spam após cadastro?
Leia Termos e política de privacidade antes. Desmarque caixas de marketing durante. Em caso de dúvida, use descartável como teste — verá o volume em 48h.
Pronto para testar um workflow de verificação?
Crie uma caixa temporária em 2 segundos e use a API para extrair códigos OTP automaticamente. 12 domínios disponíveis, sem chave.
Criar uma caixa grátis