Baja con un clic en Gmail/Yahoo: qué cambia RFC 8058 y cómo implementarlo
Por CaptainDNS
Publicado el 15 de diciembre de 2025
- #Entregabilidad
- #Gmail
- #Yahoo
- #DMARC
- #DNS
- Gmail y Yahoo esperan una baja "1 clic" guiada por encabezados, no solo un enlace al pie del correo.
- El dúo obligatorio:
List-Unsubscribe(con una URL HTTPS) +List-Unsubscribe-Post: List-Unsubscribe=One-Click. - El proveedor de correo dispara un HTTP POST hacia tu endpoint: debes dar de baja sin paso extra.
- Una implementación débil (URL sin HTTPS, redirecciones, confirmación, endpoint que no procesa el POST) genera quejas de spam... y daña la entregabilidad.
Contexto: la baja debe funcionar desde la interfaz
El enlace de baja en el pie ya no basta.
Lo que impulsan Gmail y Yahoo es un mecanismo estandarizado que sus interfaces pueden activar sin mandar al usuario a una página externa. Resultado: un botón "Darse de baja" más visible, más usado, y por tanto más opt-out... incluso si tu implementación no está lista.
Si envías marketing, newsletters o mensajes "suscritos", el tema ya no es opcional: es un requisito de conformidad.
RFC 8058: qué resuelve realmente el estándar
El encabezado List-Unsubscribe existe desde hace tiempo. Problema: algunos sistemas (antispam, antivirus, previsualizaciones) pueden precargar las URLs y disparar bajas por accidente.
La RFC 8058 añade una señal clara: "este unsubscribe es one-click y debe pasar por un POST". La idea es simple:
- GET: no debe disparar una baja silenciosa (como mucho, una página informativa).
- POST: dispara la baja efectiva.
Formato esperado: los dos encabezados imprescindibles
Aquí está el mínimo viable en los headers:
List-Unsubscribe: <https://www.captaindns.com/unsubscribe/opaque-token>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Puntos de atención:
- La URL debe ser HTTPS.
- La URL debe ir entre chevrons
<...>. - Evita URLs "frágiles" (sesiones, cookies, dependencia de JavaScript).
- Mantén el enlace de baja en el contenido (pie), pero no confíes en él para la conformidad "one-click".
Lado servidor: cómo es la petición "one-click"
Cuando el usuario pulsa "Darse de baja" en Gmail/Yahoo, tu servidor recibe normalmente:
POST /unsubscribe/opaque-token HTTP/1.1
Host: captaindns.com
Content-Type: application/x-www-form-urlencoded
List-Unsubscribe=One-Click
Lo que debe hacer tu endpoint:
- validar el token (destinatario + lista / segmento);
- registrar el opt-out (idempotente: dos llamadas = mismo resultado);
- responder
200 OKrápido, sin redirección y sin flujo adicional.
A tener en cuenta
Si tu endpoint muestra una página de confirmación o exige otro clic, pierdes justo la experiencia "1 clic" que esperan los proveedores.
DKIM: el detalle que (a menudo) lo rompe todo
Este mecanismo se apoya en encabezados. Si tu cadena de envío reescribe headers, o si tu firma DKIM no aguanta, creas un escenario clásico:
- el email llega,
- Gmail a veces muestra la opción,
- pero las señales de conformidad son incoherentes.
En la práctica: firma correctamente, alinea tus dominios y evita los "middlewares" que toquetean headers después de firmar.
Lista de comprobación de conformidad
| Elemento | Comprobación | Herramienta recomendada |
|---|---|---|
List-Unsubscribe | 1 URL HTTPS, dentro de <...> | CaptainDNS → Analizador de encabezados de email |
List-Unsubscribe-Post | Valor List-Unsubscribe=One-Click | CaptainDNS → Analizador de encabezados de email |
| Endpoint | Acepta POST, da de baja sin fricción | Logs de aplicación + pruebas manuales |
| SPF / DKIM / DMARC | Autenticación alineada | CaptainDNS → SPF / DKIM / DMARC Check |
| Redirecciones | Sin cadenas de redirecciones | curl -I sobre la URL |
| Plazo | Opt-out tratado rápido (operativo) | Monitorización / alertas |
Errores frecuentes que evitar
- Poner solo
mailto:enList-Unsubscribey considerar que ya está. - Usar una URL sin HTTPS, o una URL que depende de una cookie.
- Disparar la baja en un GET (precarga = bajas fantasma).
- Responder con una redirección a una página de "preferencias" obligatoria.
- Olvidar la idempotencia (doble POST = errores o reactivaciones involuntarias).
El "one-click unsubscribe" no es una coquetería: es una palanca directa para reducir quejas de spam y un marcador de madurez técnica.
Si tu baja en un clic es conforme (headers, endpoint POST, sin fricción), ganas en dos frentes: menos reportes de spam y una entregabilidad más estable, incluso cuando Gmail endurece sus controles.
FAQ
¿Hay que eliminar el enlace de baja del pie del email?
No. Mantén un enlace visible en el mensaje (pie). El "one-click" vía headers es un mecanismo para las interfaces de Gmail/Yahoo, no un reemplazo del enlace clásico para el usuario.
¿Puedo redirigir a una página de preferencias en lugar de dar de baja?
Para el flujo "one-click", evita cualquier pantalla intermedia. Tu endpoint debe procesar el POST y aplicar el opt-out sin pedir una acción extra.
¿Solo aplica a campañas de marketing?
Es especialmente crítico para marketing y mensajes "suscritos". En correo puramente transaccional, el requisito es menos estricto, pero mezclar flujos (marketing + transaccional en el mismo dominio) sigue siendo mala idea para la reputación.
¿Cómo puedo probar rápido?
Envía un mensaje de prueba a un buzón Gmail, abre el email, usa la opción "Darse de baja", y luego verifica en el servidor que llega el POST y que la dirección queda en opt-out (y no recibe las próximas campañas).
Glosario
List-Unsubscribe
Encabezado de email que expone un mecanismo de baja (URL y/o mailto) utilizable por los clientes de correo.
List-Unsubscribe-Post
Extensión que indica que la baja "one-click" debe procesarse vía una petición HTTP POST.
RFC 8058
Estándar IETF que describe la señal "one-click" para List-Unsubscribe, diseñado para evitar bajas accidentales por precarga de URLs.
Remitente masivo
Remitente de alto volumen (newsletters, marketing, notificaciones) para el que los proveedores aplican controles más estrictos de conformidad y reputación.
