Disiscrizione 1 clic in Gmail/Yahoo: cosa cambia con la RFC 8058 e come implementarla
Di CaptainDNS
Pubblicato il 15 dicembre 2025
- #Deliverability
- #Gmail
- #Yahoo
- #DMARC
- #DNS
- Gmail e Yahoo si aspettano una disiscrizione one-click guidata dai header, non solo da un link nel footer.
- La coppia indispensabile:
List-Unsubscribe(con URL HTTPS) +List-Unsubscribe-Post: List-Unsubscribe=One-Click. - Il provider di posta invia un HTTP POST al tuo endpoint: devi disiscrivere senza alcun passaggio aggiuntivo.
- Un'implementazione traballante (URL non HTTPS, redirect, pagina di conferma, endpoint che ignora il POST) genera segnalazioni di spam... e compromette la deliverability.
Contesto: la disiscrizione deve funzionare dall'interfaccia
Il link di disiscrizione nel footer non basta più.
Ciò che spingono Gmail e Yahoo è un meccanismo standardizzato che le loro interfacce possono attivare senza mandare l'utente su una pagina esterna. Risultato: un pulsante "Disiscriviti" più visibile, più usato e quindi più opt-out... anche se la tua implementazione non è pronta.
Se invii marketing, newsletter o messaggi "subscribed", il tema non è più opzionale: è un requisito di conformità.
RFC 8058: cosa risolve davvero lo standard
L'header List-Unsubscribe esiste da tempo. Problema: alcuni sistemi (antispam, antivirus, anteprime) possono precaricare le URL e generare disiscrizioni accidentali.
La RFC 8058 aggiunge un segnale chiaro: "questo unsubscribe è one-click e deve passare da un POST". L'idea è semplice:
- GET: non deve attivare una disiscrizione silenziosa (al massimo, una pagina informativa).
- POST: attiva la disiscrizione effettiva.
Formato atteso: i due header indispensabili
Ecco il minimo indispensabile lato header:
List-Unsubscribe: <https://www.captaindns.com/unsubscribe/opaque-token>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Punti di attenzione:
- L'URL deve essere HTTPS.
- L'URL deve stare tra i segni
<...>. - Evita URL "fragili" (sessioni, cookie, dipendenza da JavaScript).
- Mantieni il link di disiscrizione nel contenuto (footer), ma non fare affidamento su di esso per la conformità "one-click".
Lato server: com'è la richiesta "one-click"
Quando l'utente clicca "Disiscriviti" in Gmail/Yahoo, il tuo server riceve di solito:
POST /unsubscribe/opaque-token HTTP/1.1
Host: captaindns.com
Content-Type: application/x-www-form-urlencoded
List-Unsubscribe=One-Click
Cosa deve fare il tuo endpoint:
- validare il token (destinatario + lista / segmento);
- registrare l'opt-out (idempotente: due chiamate = stesso risultato);
- rispondere
200 OKrapidamente, senza redirect e senza flusso aggiuntivo.
Da sapere
Se il tuo endpoint mostra una pagina di conferma o richiede un altro clic, perdi proprio l'esperienza "one-click" attesa dai provider.
DKIM: il dettaglio che (spesso) rompe tutto
Questo meccanismo si basa sugli header. Se la tua catena di invio riscrive gli header, o se la firma DKIM non regge, crei uno scenario classico:
- l'email arriva,
- Gmail mostra a volte l'opzione,
- ma i segnali di conformità risultano incoerenti.
In pratica: firma correttamente, allinea i domini ed evita i "middleware" che manipolano gli header dopo la firma.
Checklist di conformità
| Elemento | Verifica | Strumento consigliato |
|---|---|---|
List-Unsubscribe | 1 URL HTTPS, dentro <...> | CaptainDNS → Analizzatore header email |
List-Unsubscribe-Post | Valore List-Unsubscribe=One-Click | CaptainDNS → Analizzatore header email |
| Endpoint | Accetta POST, disiscrive senza attrito | Log applicativi + test manuali |
| SPF / DKIM / DMARC | Autenticazione allineata | CaptainDNS → SPF / DKIM / DMARC Check |
| Redirect | Niente catene di reindirizzamenti | curl -I sull'URL |
| Tempo | Opt-out gestito rapidamente (operativo) | Monitoraggio / alerting |
Errori da evitare
- Inserire solo
mailto:inList-Unsubscribee pensare che basti. - Usare un URL non HTTPS, o un URL che dipende da un cookie.
- Attivare la disiscrizione su un GET (precaricamento = disiscrizioni fantasma).
- Rispondere con un redirect a una pagina "preferenze" obbligatoria.
- Dimenticare l'idempotenza (POST doppio = errori o reiscrizioni involontarie).
Il "one-click unsubscribe" non è un vezzo: è una leva diretta per ridurre le segnalazioni di spam ed è un segno di maturità tecnica.
Se la tua disiscrizione a un clic è conforme (header, endpoint POST, niente attriti), vinci su due fronti: meno segnalazioni di spam e una deliverability più stabile, anche quando Gmail inasprisce i controlli.
FAQ
Bisogna rimuovere il link di disiscrizione nel footer dell'email?
No. Mantieni un link visibile nel messaggio (footer). Il "one-click" via header è un meccanismo per le interfacce Gmail/Yahoo, non un sostituto del link classico per l'utente.
Posso rimandare a una pagina di preferenze invece di disiscrivere?
Per il flusso "one-click", evita ogni schermata intermedia. Il tuo endpoint deve elaborare il POST e applicare l'opt-out senza chiedere un'azione ulteriore.
Riguarda solo le campagne marketing?
È soprattutto critico per marketing e messaggi "subscribed". Per l'email puramente transazionale il requisito è meno rigido, ma mescolare i flussi (marketing + transazionale sullo stesso dominio) resta una cattiva idea per la reputazione.
Come posso testare rapidamente?
Invia un messaggio di prova a una casella Gmail, apri l'email, usa l'opzione "Disiscriviti", poi verifica lato server che il POST arrivi e che l'indirizzo sia in opt-out (e non riceva le campagne successive).
Glossario
List-Unsubscribe
Header email che espone un meccanismo di disiscrizione (URL e/o mailto) utilizzabile dai client di posta.
List-Unsubscribe-Post
Estensione che indica che la disiscrizione "one-click" va gestita tramite una richiesta HTTP POST.
RFC 8058
Standard IETF che descrive il segnale "one-click" per List-Unsubscribe, pensato per evitare disiscrizioni accidentali dovute al precaricamento delle URL.
Bulk sender
Mittente ad alto volume (newsletter, marketing, notifiche) per cui i provider applicano controlli di conformità e reputazione più rigorosi.
