如果您打算向其发送邮件，您需要确保用户的电子邮件地址是正确的：

• 安全敏感（例如忘记密码重置令牌），或
• 经常/大量，以避免骚扰已输入地址的其他人。

这通常更多是关于清除错误输入的不正确地址，而不是一些恶意攻击。

如果您从不打算向该地址发送邮件，那么您实际上只是将其用作固定格式的用户名，并且没有特别需要对其进行验证。但我想这是您可能希望保持开放的选项。

电子邮件验证与限制注册无关。除了低动机/无目标的攻击之外，它在这方面完全无效，因为电子邮件地址没有稀缺因素。攻击者注册一些域、在其上使用无限制的随机电子邮件地址并使用读取其收件箱的自动化工具进行验证是微不足道的。

如果您打算向该地址发送电子邮件，则需要进行验证以避免被识别为垃圾邮件发送者。

如果您要求用户同意合同，并且您无法根据 CC# 等其他一些信息验证身份，那么您需要进行验证。如果不是，那么如果您需要因违约而上法庭，您没有证据表明您要起诉的人是使用该服务的人。

如果法律要求您限制对您网站的访问（例如，特定年龄的人），那么不采取常见步骤（例如验证电子邮件）可能会被用来证明您对过滤客户并不认真，甚至如果您有其他过滤方法。

您应该为新用户实施电子邮件确认，如果只是为了“安全剧院”，用户期望一旦他们使用电子邮件作为标识符注册服务，他们就会期望得到验证。

在不做进一步假设的情况下将您的问题放在真空中，对您的用户或真正潜在用户的风险相对较低。一旦您修复和审查用户 ID 的工时超过了建立系统以验证电子邮件地址所需的时间，您的基础架构面临的风险可能很大。

电子邮件确认将帮助您确定说他们的电子邮件是 foo@bar.com 的人实际上控制了这封电子邮件。

强迫他们确认电子邮件的好处是：

• 您验证电子邮件地址存在并且可以向其发送邮件
• 您确认他们确实有权访问收件箱

我应该为新用户实施电子邮件确认系统吗？如果我不这样做，网站会有什么风险？

如果您出于任何原因打算发送邮件，最好确认电子邮件地址。

如果您不确认用户的电子邮件，那么您将面临以下风险：

• 向不想要的人发送电子邮件
• 电子邮件退回，因为它不存在
• 将敏感信息发送到错误的地址（这可能是用户故意的，或者他们可能输入了错误的电子邮件）