Zurück zum Blog
Sicherheit

Liste der Wegwerfmail-Domains: Wie man sie blockiert

Josselin Liebe
Josselin Liebe

Wenn ein Produkt einen kostenlosen Plan anbietet, folgen gefälschte Anmeldungen. Die meisten Teams bemerken das Problem erst, wenn die E-Mail-Bounce-Rate steigt, die Conversion von Test zu bezahltem Abo ohne Erklärung sinkt oder Empfehlungsguthaben missbraucht werden. Zu diesem Zeitpunkt ist der Schaden bereits angerichtet.

Wir haben mit einem B2B-SaaS-Unternehmen gearbeitet, das ein Freemium-Produkt betreibt. Sie hatten einen gut aufgebauten Onboarding-Flow, gute Aktivierungs-E-Mails und eine strukturierte Drip-Sequenz. Nichts davon funktionierte wie erwartet. Als wir gemeinsam die Anmeldedaten untersuchten, stellte sich heraus, dass fast jedes achte neue Konto mit einer Wegwerfadresse erstellt worden war. Nachdem mithilfe der Veille API eine Wegwerfmail-Erkennung bei der Registrierung eingeführt wurde, sanken gefälschte Anmeldungen im ersten Monat um mehr als 10 %. Conversion-Kennzahlen wurden wieder aussagekräftig. E-Mail-Performance-Daten spiegelten endlich die Realität wider.

Dieser Leitfaden erklärt, wie Sie diese Erkennungsebene aufbauen: welche Open-Source-Blocklisten nützlich sind, wo ihre Grenzen liegen und wie Sie sie mit Echtzeit-API-Prüfungen kombinieren, um Ihren Registrierungsfluss sauber zu halten.

Was ist eine Wegwerfmail-Domain?

Eine Wegwerfmail-Domain gehört einem Dienst, der E-Mail-Posteingänge auf Abruf erstellt. Es ist keine Kontoerstellung erforderlich. Es wird keine Identität überprüft. Nutzer erhalten in Sekunden eine funktionsfähige Adresse. Der Posteingang verschwindet nach einigen Minuten oder Stunden, manchmal ohne jede Zeitbegrenzung. Die Adresse ist verschwunden oder aufgegeben, lange bevor Ihre Begrüßungs-E-Mail versendet wird.

Zu den bekanntesten Diensten gehören Mailinator, Guerrilla Mail, YOPmail, 10MinuteMail und Temp-Mail. Aber das sind nur die sichtbarsten. Es gibt Hunderte kleinerer, weniger bekannter Anbieter, darunter Domains, die gezielt erstellt wurden, um Blocklisten zu umgehen, die auf die offensichtlichen Anbieter abzielen.

Nicht jeder, der eine Wegwerfadresse nutzt, versucht Ihre Plattform zu missbrauchen. Datenschutzbewusste Nutzer, Entwickler, die Integrationen testen, und Personen, die Marketing-E-Mails vermeiden möchten, haben alle gültige Gründe für die Nutzung von temporären Adressen. Das Problem ist, dass auch schlechte Akteure — Personen, die mehrere gefälschte Konten erstellen, kostenlose Test-Zeiträume wiederholt beanspruchen oder Empfehlungsprogramme missbrauchen — diese verwenden. Und diese sind nachträglich viel schwerer herauszufiltern.

Der entscheidende Punkt: Wegwerfmails sind ein Anmeldeproblem, kein Zustellbarkeitsproblem. Bounces, Beschädigung des Sender-Scores und reduzierte Posteingangsplatzierung sind Folgeerscheinungen, keine Ursachen. Es ist besser, das Problem am Registrierungsformular zu stoppen, als es Wochen später aus den E-Mail-Analysen zu diagnostizieren.

Welche Blocklisten es wert sind, genutzt zu werden

Auf GitHub gibt es mehrere von der Community gepflegte Listen. Sie unterscheiden sich in der Anzahl der abgedeckten Domains, der Aktualisierungshäufigkeit und der Genauigkeit.

disposable-email-domains/disposable-email-domains

Etwa 4.000 Domains, aktualisiert durch Community-Beiträge, die unterstützende Belege erfordern. Dies ist die vorsichtige Wahl: weniger Falschpositive, aber keine vollständige Abdeckung. Ein guter Ausgangspunkt, wenn Sie dies zum ersten Mal einrichten.

disposable/disposable-email-domains

Etwa 100.000 Domains, täglich automatisch aktualisiert. Breitere Abdeckung, aber weniger genau. Einige Einträge umfassen Datenschutzdienste, die nicht wirklich Wegwerfdienste sind. Nützlich für Hochrisiko-Plattformen, auf denen Sie lieber zu viel als zu wenig blockieren möchten — zum Beispiel Gaming-Plattformen, Coupon-Websites oder Krypto-Dienste.

7c/fakefilter

Etwa 5.000 Domains, täglich aktualisiert, und jeder Eintrag verweist auf seine Quelle. Die Möglichkeit nachzuvollziehen, warum eine Domain gelistet ist, ist nützlich, wenn Sie einen Fall untersuchen, in dem ein echter Nutzer blockiert wurde.

FGRibreau/mailchecker

Als gebrauchsfertige Bibliotheken für Node.js, PHP, Ruby und andere Sprachen verfügbar. Eine gute Option, wenn Sie eine integrierte Bibliothek einer reinen Textdatei vorziehen.

Keine dieser Listen ist vollständig. Sie decken die gängigsten Anbieter ab und bleiben einigermaßen aktuell, laufen aber immer den neuesten Diensten hinterher.

Häufige Wegwerfdomains zum Blockieren

Wenn Sie einen schnellen Ausgangspunkt benötigen, während Sie ein ordentliches Erkennungssystem aufbauen, tauchen diese Domains häufig bei gefälschten Anmeldeaktivitäten auf:

mailinator.com
guerrillamail.com
temp-mail.org
yopmail.com
10minutemail.com
trashmail.com
emailondeck.com
maildrop.cc
sharklasers.com
guerrillamailblock.com
grr.la
mailnesia.com
getnada.com
mohmal.com
throwam.com
dispostable.com
tempail.com
fakeinbox.com
throwaway.email
tempinbox.com

Diese Liste ist eine vorübergehende Maßnahme, keine Dauerlösung. Jede Woche tauchen neue Wegwerfdomains auf. Manche verschwinden schnell, andere bleiben monatelang aktiv. Eine Liste, die nie aktualisiert wird, verpasst alles, was nach ihrer letzten Bearbeitung erstellt wurde.

Warum statische Listen veralten

Wegwerfmail-Dienste verändern sich. Viele bieten inzwischen REST- oder GraphQL-APIs an, was bedeutet, dass eine Person automatisch eine neue E-Mail-Adresse erstellen kann, ohne einen Browser zu öffnen. Eine neue Wegwerfdomain kann in weniger als einer Stunde eingerichtet und bereit sein, E-Mails zu empfangen — lange bevor sie in einer öffentlichen Liste erscheint.

Einige Angreifer nutzen keine bestehenden Dienste. Stattdessen registrieren sie günstige Domains, konfigurieren grundlegende Mailserver-Einstellungen, verwenden die Adresse einmal und ziehen weiter. Diese Domains sehen bei jeder statischen Listenprüfung legitim aus. Der einzige Weg, sie zu erkennen, ist die Analyse von Signalen wie DNS-Konfiguration, dem Zeitpunkt der Domainregistrierung und ob der Mailserver korrekt antwortet.

Hier stoßen statische Listen an ihre Grenzen. Sie funktionieren gut, um bekannte Anbieter ohne zusätzliche Latenz zu blockieren, da die Prüfung lediglich eine Suche in einer Menge bekannter Werte ist. Aber sie können keine einmaligen benutzerdefinierten Domains oder neu erstellte Dienste abdecken.

Echtzeit-Erkennung mit der Veille API

Die Veille E-Mail-Validierungs-API (GET /v1/intelligence/email) prüft E-Mail-Adressen gegen eine kontinuierlich aktualisierte Datenbank mit mehr als 100.000 bekannten Wegwerfdomains, kombiniert mit Live-DNS- und Mailserver-Analyse. Sie gibt zurück:

  • disposabletrue, wenn die Domain ein bekannter Wegwerfanbieter ist
  • risk_score — ein Score von 0 (sicher) bis 100 (hohes Risiko), der alle verfügbaren Signale kombiniert
  • role_account / role_type — erkennt gemeinsam genutzte Posteingänge wie info@, noreply@ oder admin@
  • dns.mx — ob die Domain einen gültigen, konfigurierten Mailserver hat
  • smtp_valid — ob der spezifische Posteingang E-Mails empfangen kann (verfügbar mit qualification_check=true)

Das Feld risk_score ist am nützlichsten für differenzierte Entscheidungen. Statt einer binären Blockierung oder Zulassung können Sie Schwellenwerte definieren: niedrige Scores durchlassen, mittlere Scores mit zusätzlicher Überprüfung versehen und hohe Scores direkt am Formular ablehnen.

So implementieren Sie die Wegwerfmail-Blockierung

Python — Prüfung gegen eine statische Blockliste

Laden Sie die Liste von GitHub herunter und speichern Sie sie im Speicher. Tun Sie dies einmal beim Start der Anwendung oder nach einem geplanten Intervall, nicht bei jeder Anfrage.

import requests

BLOCKLIST_URL = (
    "https://raw.githubusercontent.com/"
    "disposable-email-domains/disposable-email-domains/"
    "refs/heads/main/disposable_email_blocklist.conf"
)

def load_blocklist() -> set[str]:
    response = requests.get(BLOCKLIST_URL, timeout=10)
    return set(response.text.strip().splitlines())

DISPOSABLE_DOMAINS = load_blocklist()

def is_known_disposable(email: str) -> bool:
    domain = email.rsplit("@", 1)[-1].lower()
    return domain in DISPOSABLE_DOMAINS

Aktualisieren Sie die Liste einmal pro Woche mit einem geplanten Task. Die Liste ändert sich häufig genug, dass eine veraltete Version echten Missbrauch übersieht, aber nicht so häufig, dass Sie sie laufend aktualisieren müssen.

Python — Nutzung der Veille API für Echtzeit-Erkennung

import requests

API_KEY = "YOUR_API_KEY"
BASE_URL = "https://api.veille.io/v1"

def validate_email(email: str) -> dict:
    response = requests.get(
        f"{BASE_URL}/intelligence/email",
        params={"query": email},
        headers={"x-api-key": API_KEY},
        timeout=3,
    )
    response.raise_for_status()
    return response.json()

def signup_gate(email: str) -> tuple[bool, str]:
    data = validate_email(email)

    if data["disposable"]:
        return False, "Please use a permanent email address to sign up."

    if data["risk_score"] >= 75:
        return False, "We could not verify this email address. Please try a different one."

    return True, ""

TypeScript — Validierungs-Middleware für Express

import express, { Request, Response, NextFunction } from "express";

const API_KEY = "YOUR_API_KEY";
const BASE_URL = "https://api.veille.io/v1";

interface EmailValidation {
  disposable: boolean;
  risk_score: number;
  smtp_valid: boolean;
}

async function validateEmailMiddleware(
  req: Request,
  res: Response,
  next: NextFunction
): Promise<void> {
  const { email } = req.body as { email: string };

  try {
    const response = await fetch(
      `${BASE_URL}/intelligence/email?query=${encodeURIComponent(email)}`,
      { headers: { "x-api-key": API_KEY }, signal: AbortSignal.timeout(3000) }
    );

    const data = (await response.json()) as EmailValidation;

    if (data.disposable || data.risk_score >= 75) {
      res.status(422).json({ error: "This email address cannot be used for registration." });
      return;
    }

    next();
  } catch {
    // If the API is unreachable, allow the request through and log the failure
    console.warn(`[veille] email validation failed for ${email}, allowing through`);
    next();
  }
}

const app = express();
app.use(express.json());
app.post("/auth/signup", validateEmailMiddleware, (req, res) => {
  res.json({ status: "ok" });
});

Ein wichtiger Implementierungshinweis: Wenn die Validierungs-API nicht erreichbar ist oder einen Fehler zurückgibt, lassen Sie die Anfrage durch. Blockieren Sie Nutzer nicht wegen eines Netzwerkproblems. Protokollieren Sie den Fehler und überprüfen Sie diese Anmeldungen separat.

Wo Validierung hinzuzufügen ist

Das Registrierungsformular ist der wichtigste Ort, aber nicht der einzige:

  • E-Mail-Änderungsflows — ein bestehender Nutzer, der zu einer Wegwerfadresse wechselt, ist ein Warnsignal
  • Wartelisten- und Early-Access-Anmeldeformulare
  • Coupon- und Aktionscode-Formulare
  • Registrierung im Empfehlungsprogramm

Je früher Sie eine Wegwerfadresse erkennen, desto weniger Aufwand haben Sie später beim Bereinigen Ihrer Daten.

Falschpositive vermeiden

Einige legitime Dienste generieren E-Mail-Adressen, die Wegwerfadressen ähneln. Apple Hide My Email, Firefox Relay, Proton Mail-Aliase, SimpleLogin und addy.io erstellen alle Weiterleitungsadressen mit ungewöhnlichen Mustern. Eine zu strenge Blockliste kann diese fälschlicherweise blockieren.

Der wichtige Unterschied: Diese Adressen leiten an einen echten Posteingang einer echten Person weiter, die sich entschieden hat, ihre Privatsphäre zu schützen. Diese Nutzer zu blockieren bedeutet, echte Kunden zu verlieren, nicht Betrug zu verhindern.

Zwei Schritte helfen, dieses Problem zu vermeiden. Erstens: Pflegen Sie eine Liste bekannter Datenschutz-Relay-Dienste und überspringen Sie alle Prüfungen für diese Domains:

PRIVACY_RELAY_DOMAINS = {
    "privaterelay.appleid.com",
    "relay.firefox.com",
    "simplelogin.co",
    "addy.io",
    "anonaddy.com",
}

def should_skip_check(email: str) -> bool:
    domain = email.rsplit("@", 1)[-1].lower()
    return domain in PRIVACY_RELAY_DOMAINS

Zweitens: Verwenden Sie risk_score-Schwellenwerte statt einfachem Domain-Abgleich. Eine Weiterleitungsadresse eines bekannten Datenschutzdienstes hat typischerweise einen niedrigen Score. Eine unbekannte Wegwerfdomain, die letzte Woche erstellt wurde, hat einen hohen Score. Hier bietet die Veille API den größten Mehrwert.

Bevor Sie Blockierungslogik in der Produktion aktivieren, führen Sie sie eine Woche lang im Testmodus aus: Protokollieren Sie, was blockiert worden wäre, ohne Anfragen tatsächlich abzulehnen. Überprüfen Sie die Ergebnisse manuell. Wenn echte Nutzer in den Protokollen erscheinen, passen Sie Ihre Schwellenwerte an.

Ein mehrschichtiger Ansatz

Keine einzelne Prüfung ist ausreichend. Eine zuverlässige Konfiguration kombiniert mehrere Ebenen:

  1. Zulassungsliste für Datenschutz-Relays — zuerst geprüft; Adressen dieser Domains überspringen alle anderen Prüfungen
  2. Statische Blockliste — schnelle Suche, blockiert sofort die bekanntesten Wegwerfanbieter
  3. Veille API — Echtzeit-Prüfung für alles, was die statische Liste passiert hat, mit disposable, dns.mx und risk_score
  4. Verhalten nach der Registrierung — Konten, die nie eine E-Mail öffnen, das Onboarding nie abschließen und nach 7 Tagen keine Aktivität zeigen, sollten überprüft werden, unabhängig davon, wie sie die anfänglichen Prüfungen bestanden haben

Entscheidungslogik:

Signal Aktion
Domain auf Datenschutz-Relay-Zulassungsliste Zulassen
Domain auf statischer Blockliste Am Registrierungsformular ablehnen
disposable: true von der API Am Registrierungsformular ablehnen
risk_score ≥ 75 Am Registrierungsformular ablehnen
risk_score 50–74 Zulassen und zur manuellen Überprüfung markieren
Keine Aktivität nach 7 Tagen Archivieren und aus aktiven Listen entfernen

FAQ

Wie oft sollte ich die Blockliste aktualisieren?

Einmal pro Woche ist für die meisten Teams ausreichend. Richten Sie einen automatisierten Task ein, der die neueste Version herunterlädt und in den Speicher lädt. Häufigere Aktualisierungen bringen kaum Vorteile; seltenere Aktualisierungen bedeuten, neu identifizierte Anbieter zu verpassen.

Sollte ich rollenbasierte Adressen wie info@firma.com blockieren?

Das hängt von Ihrem Produkt ab. Bei Verbraucheranmeldungen sind gemeinsam genutzte Adressen wie info@ oder admin@ oft ein Zeichen für einen minderwertigen Lead oder einen geteilten Posteingang. Bei Business-Produkten kann dies die einzige öffentlich verfügbare Adresse eines Unternehmens sein. Verwenden Sie das Feld role_account der Veille API, um sie separat zu kennzeichnen, anstatt direkt zu blockieren, und behandeln Sie sie dann mit einem anderen Onboarding-Flow.

Was ist mit Catch-all-Domains?

Einige Domains akzeptieren E-Mails an jede Adresse, auch wenn kein echter Posteingang für diese Adresse existiert. Eine statische Blockliste kann das nicht erkennen. Verwenden Sie smtp_valid mit qualification_check=true in der Veille API, um zu überprüfen, ob ein bestimmter Posteingang tatsächlich E-Mails empfangen kann, nicht nur, ob die Domain konfiguriert ist.

Kann ich alle kostenlosen E-Mail-Anbieter blockieren?

Nein. Die meisten legitimen Nutzer melden sich mit kostenlosen Anbietern wie Gmail, Outlook oder Yahoo an. Das Blockieren kostenloser Anbieter würde die Mehrheit Ihrer echten Nutzer ausschließen. Die richtige Unterscheidung ist zwischen Wegwerf- und dauerhaften Adressen, nicht zwischen kostenlos und kostenpflichtig.

Gibt es eine Liste, die alle Wegwerfdomains abdeckt?

Nein. Neue Wegwerfmail-Dienste werden regelmäßig erstellt, oft mit dem ausdrücklichen Ziel, bestehende Blocklisten zu umgehen. Der effektivste Ansatz ist die Kombination einer statischen Liste für bekannte Anbieter mit einer Echtzeit-API für alles andere.

Veille-Ressourcen

Veille verfolgt mehr als 953 Wegwerfmail-Anbieter, gegliedert in 9 Kategorien: 10-Minuten-Posteingänge, temporäre Dienste, Burner-Adressen, Müll-Posteingänge, gefälschte E-Mail-Generatoren, anonyme Weiterleitungsdienste, Alias- und Relay-Dienste, Datenschutz-Tools und andere. Die Datenbank wird wöchentlich aktualisiert.

Zwei kostenlose Tools zur Verwendung neben diesem Leitfaden:

  • Verzeichnis der Wegwerfmail-Anbieter — alle 953+ erfassten Anbieter durchsuchen, mit Kategorie-Label und Beschreibung für jeden
  • Blocklisten-Vergleichstool — eine Domain eingeben und prüfen, ob sie gleichzeitig in 12 Open-Source-Blocklisten aufgeführt ist, darunter disposable-email-domains/disposable-email-domains, disposable/disposable-email-domains, 7c/fakefilter, FGRibreau/mailchecker und mehr

Für Echtzeit-Erkennung bei der Registrierung — wo Sie disposable, risk_score und smtp_valid sofort zurückgegeben benötigen — übernimmt die Veille E-Mail-Validierungs-API, was keine statische Liste leisten kann.

Verwandte Beiträge

Engineering

Wie wir einen Wegwerfmail-Datensatz aufgebaut haben

Headless-Browser, Screenshots, OCR, Validierungspipelines: ein technischer Einblick, wie wir den Datensatz hinter unserer API zur Wegwerfmail-Erkennung aufgebaut haben.

Weiterlesen
Sicherheit

Wie Wegwerfmails bei Account-Betrug eingesetzt werden

Wegwerfmail-Dienste machen es Angreifern leicht, im großen Maßstab gefälschte Accounts zu erstellen. Erfahren Sie, wie Sie diese mit der Veille E-Mail-Validierungs-API erkennen und blockieren.

Weiterlesen
Sicherheit

IP-Reputation: Warum Ihre Firewall nicht ausreicht

VPNs, Proxys und Tor machen IP-basiertes Sperren schwieriger denn je. Die Veille IP-Reputations-API geht über einfache Blocklisten hinaus.

Weiterlesen