Privacidade por padrão, segurança que você pode verificar
O EvilMail foi criado para que a sua identidade real nunca precise participar de um cadastro. Veja exatamente o que fazemos com os dados, por quanto tempo os mantemos e como mantemos o serviço seguro.
Última revisão: Julho de 2026
Nossos compromissos
Minimização de dados
Coletamos o mínimo possível. Sem nome real, sem telefone, sem perfil de rastreamento para usar uma caixa de entrada temporária.
Expiração automática
As caixas de entrada descartáveis e suas mensagens são apagadas automaticamente quando o TTL termina. Nada fica para trás.
Apenas recebimento
Caixas de entrada temporárias não podem enviar e-mails. O serviço não pode ser usado para disparar spam a partir dos nossos domínios.
Criptografado em trânsito
Toda requisição usa TLS/HTTPS. As senhas têm hash bcrypt; as chaves de API são suas para rotacionar quando quiser.
O que armazenamos — e o que não armazenamos
Para operar uma caixa de entrada descartável, armazenamos apenas o endereço, as mensagens recebidas e um token de sessão — durante toda a vida útil dessa caixa. Para contas registradas, guardamos o seu nome de usuário, e-mail, uma senha com hash bcrypt e a sua chave de API. Não armazenamos o seu nome real, não exigimos número de telefone e não criamos um perfil publicitário sobre você. O pagamento é processado pelos nossos parceiros (Stripe / cripto) — nunca vemos nem armazenamos números completos de cartão.
Por quanto tempo os seus dados existem
Uma caixa de entrada temporária e todas as mensagens nela são excluídas automaticamente quando o TTL que você escolheu expira (de 10 minutos até 24 horas no fluxo gratuito). Não há arquivo oculto. As contas registradas mantêm as caixas de correio de domínio personalizado enquanto o plano estiver ativo; você pode excluir um endereço de e-mail, um domínio ou toda a sua conta a qualquer momento, o que remove os dados associados.
Privacidade por padrão
Usar uma caixa de entrada descartável não exige conta, dados pessoais nem aplicativo. Não vendemos nem alugamos dados, e a análise só é executada com o seu consentimento de cookies. O objetivo do produto é justamente manter a sua identidade principal fora de bancos de dados e listas de vazamento — por isso aplicamos o mesmo padrão aos poucos dados que manipulamos.
Prevenção de abusos
O e-mail descartável pode ser usado indevidamente, então projetamos contra isso: as caixas de entrada são apenas para recebimento (sem spam de saída), limites de taxa e um captcha protegem a API e as ferramentas, e agimos rapidamente diante de denúncias de abuso. Padrões reconhecidamente maliciosos são bloqueados, e cooperamos com solicitações legítimas de abuso e legais. Os domínios personalizados são verificados via DNS antes de poderem enviar ou receber.
Infraestrutura e criptografia
Todo o tráfego é servido por HTTPS/TLS com HSTS. Os segredos da aplicação e as chaves de sessão ficam apenas no ambiente, nunca no código-fonte. As senhas usam bcrypt, as sessões usam cookies assinados e a proteção CSRF resguarda as requisições que alteram estado. O acesso à API é por chave e revogável — gere novamente uma chave no seu painel e a antiga para de funcionar imediatamente.
Conformidade e os seus direitos (GDPR / KVKK)
Seguimos os princípios de minimização de dados e limitação de finalidade. Você tem o direito de acessar e excluir os seus dados: os dados temporários se autoexcluem ao expirar e os dados da conta são removidos quando você exclui a conta. Para qualquer solicitação de dados, entre em contato e responderemos. Processamos dados apenas para fornecer o serviço que você solicitou.
Divulgação responsável
Encontrou uma vulnerabilidade? Queremos saber. Reporte-a de forma privada para o endereço abaixo e nos dê um prazo razoável para corrigi-la antes de qualquer divulgação pública. Não perseguimos pesquisadores de segurança de boa-fé que seguem a divulgação responsável.
A privacidade é o produto.
Crie uma caixa de entrada descartável com um clique — sem cadastro, nada para limpar depois.

