Désabonnement 1-clic Gmail/Yahoo : ce que change RFC 8058 et comment l'implémenter
Par CaptainDNS
Publié le 15 décembre 2025
- #Délivrabilité
- #Gmail
- #Yahoo
- #DMARC
- #DNS
- Gmail et Yahoo attendent un désabonnement "1-clic" piloté par des headers, pas juste un lien en bas d'email.
- Le duo à avoir :
List-Unsubscribe(avec une URL HTTPS) +List-Unsubscribe-Post: List-Unsubscribe=One-Click. - Le fournisseur de messagerie déclenche un HTTP POST vers votre endpoint : vous devez désabonner sans étape supplémentaire.
- Une implémentation bancale (URL non-HTTPS, redirections, confirmation, endpoint qui ne traite pas le POST) engendre des plaintes spam... et impacte la délivrabilité.
Contexte : "se désabonner" doit fonctionner depuis l'interface
Le lien de désabonnement en footer ne suffit plus.
Ce que Gmail et Yahoo poussent, c'est un mécanisme standardisé que leurs interfaces peuvent activer sans envoyer l'utilisateur sur une page tiers. Résultat : un bouton "Se désabonner" plus visible, plus utilisé, et donc plus d'opt-out... y compris si votre implémentation n'est pas prête.
Si vous envoyez du marketing, des newsletters, ou des messages "subscribed", le sujet n'est plus optionnel : c'est une exigence de conformité.
RFC 8058 : ce que le standard règle vraiment
Le header List-Unsubscribe existe depuis longtemps. Problème : certains systèmes (antispam, antivirus, prévisualisation) peuvent précharger les URLs et déclencher des désabonnements par accident.
La RFC 8058 ajoute un signal clair : "cet unsubscribe est one-click et doit passer par un POST". L'idée est simple :
- GET : ne doit pas déclencher un désabonnement "silencieux" (au pire, une page d'info).
- POST : déclenche le désabonnement effectif.
Format attendu : les deux en-têtes indispensables
Voici le minimum viable côté headers :
List-Unsubscribe: <https://www.captaindns.com/unsubscribe/opaque-token>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Points d'attention :
- L'URL doit être HTTPS.
- L'URL doit être dans des chevrons
<...>. - Évitez les URL "fragiles" (sessions, cookies, dépendance à JavaScript).
- Gardez votre lien de désabonnement dans le contenu (footer), mais ne comptez pas sur lui pour la conformité "one-click".
Côté serveur : à quoi ressemble la requête "one-click"
Quand l'utilisateur clique "Se désabonner" dans Gmail/Yahoo, votre serveur reçoit typiquement :
POST /unsubscribe/opaque-token HTTP/1.1
Host: captaindns.com
Content-Type: application/x-www-form-urlencoded
List-Unsubscribe=One-Click
Ce que votre endpoint doit faire :
- valider le token (destinataire + liste / segment) ;
- enregistrer l'opt-out (idempotent : deux appels = même résultat) ;
- répondre
200 OKrapidement, sans redirection et sans "flow" supplémentaire.
Bon à savoir
Si votre endpoint affiche une page de confirmation, ou exige un clic supplémentaire, vous perdez précisément l'avantage "1-clic" attendu par les fournisseurs.
DKIM : le détail qui casse (souvent) tout
Ce mécanisme repose sur des en-têtes. Si votre chaîne d'envoi réécrit les headers, ou si votre signature DKIM ne tient pas, vous créez un scénario classique :
- l'email arrive,
- Gmail affiche parfois l'option,
- mais les signaux de conformité sont incohérents.
En pratique : signez proprement, alignez vos domaines, et évitez les "middlewares" qui bricolent les headers après signature.
Check-list de conformité
| Élément | Vérification | Outil conseillé |
|---|---|---|
List-Unsubscribe | 1 URL HTTPS, dans <...> | CaptainDNS → Analyseur d'en-têtes email |
List-Unsubscribe-Post | Valeur List-Unsubscribe=One-Click | CaptainDNS → Analyseur d'en-têtes email |
| Endpoint | Accepte POST, désabonne sans friction | Logs applicatifs + tests manuels |
| SPF / DKIM / DMARC | Authentification alignée | CaptainDNS → SPF / DKIM / DMARC Check |
| Redirections | Pas de chaînes de redirection | curl -I sur l'URL |
| Délai | Opt-out traité rapidement (opérationnel) | Monitoring / alerting |
Erreurs fréquentes à éviter
- Mettre uniquement
mailto:dansList-Unsubscribeet considérer que c'est "bon". - Utiliser une URL non-HTTPS, ou une URL qui dépend d'un cookie.
- Déclencher le désabonnement sur un GET (préchargement = désabonnements fantômes).
- Répondre par une redirection vers une page "préférences" obligatoire.
- Oublier l'idempotence (double POST = erreurs ou réinscriptions involontaires).
Le "one-click unsubscribe" n'est pas une coquetterie : c'est un levier direct de réduction des plaintes spam et un marqueur de maturité technique.
Si votre désabonnement 1-clic est conforme (headers, endpoint POST, pas de friction), vous gagnez sur deux tableaux : moins de spam reports et une délivrabilité plus stable, même quand Gmail durcit ses contrôles.
FAQ
Faut-il supprimer le lien de désabonnement en bas d'email ?
Non. Gardez un lien visible dans le message (footer). Le "one-click" via headers est un mécanisme pour les interfaces Gmail/Yahoo, pas un remplacement du lien utilisateur classique.
Puis-je renvoyer vers une page de préférences au lieu de désabonner ?
Pour le flux "one-click", évitez tout écran intermédiaire. Votre endpoint doit pouvoir traiter le POST et appliquer l'opt-out sans demander d'action supplémentaire.
Est-ce que ça concerne uniquement les campagnes marketing ?
C'est surtout critique pour le marketing et les messages "subscribed". En transactionnel pur, l'exigence est moins structurante, mais mélanger les flux (marketing + transactionnel sur le même domaine) reste un mauvais plan pour la réputation.
Comment tester rapidement ?
Envoyez un message de test vers une boîte Gmail, ouvrez l'email, utilisez l'option "Se désabonner", puis vérifiez côté serveur que le POST arrive et que l'adresse est bien opt-out (et qu'elle ne reçoit plus les prochaines campagnes).
Glossaire
List-Unsubscribe
En-tête email qui expose un mécanisme de désabonnement (URL et/ou mailto) exploitable par les clients de messagerie.
List-Unsubscribe-Post
Extension indiquant que le désabonnement "one-click" doit être traité via une requête HTTP POST.
RFC 8058
Standard IETF décrivant le signal "one-click" pour List-Unsubscribe, conçu notamment pour éviter les désabonnements accidentels dus au préchargement d'URLs.
Bulk sender
Expéditeur à gros volumes (newsletters, marketing, notifications) pour lequel les fournisseurs appliquent des contrôles plus stricts de conformité et de réputation.
