Descadastro em um clique no Gmail/Yahoo: o que muda com a RFC 8058 e como implementar
Por CaptainDNS
Publicado em 15 de dezembro de 2025
- #Entregabilidade
- #Gmail
- #Yahoo
- #DMARC
- #DNS
- Gmail e Yahoo esperam um descadastro de um clique acionado por headers, não apenas um link no rodapé.
- O par obrigatório:
List-Unsubscribe(com uma URL HTTPS) +List-Unsubscribe-Post: List-Unsubscribe=One-Click. - O provedor de email dispara um HTTP POST para o seu endpoint: você deve descadastrar sem etapa extra.
- Uma implementação frágil (URL sem HTTPS, redireções, página de confirmação, endpoint que ignora o POST) gera reclamações de spam... e prejudica a entregabilidade.
Contexto: o descadastro precisa funcionar na interface
O link de descadastro no rodapé já não basta.
O que Gmail e Yahoo impulsionam é um mecanismo padronizado que suas interfaces podem acionar sem mandar o usuário para uma página externa. Resultado: um botão "Descadastrar" mais visível, mais utilizado, e portanto mais opt-outs... mesmo se a sua implementação não estiver pronta.
Se você envia marketing, newsletters ou mensagens "subscribed", o tema deixou de ser opcional: é uma exigência de conformidade.
RFC 8058: o que o padrão resolve de fato
O header List-Unsubscribe existe há muito tempo. Problema: alguns sistemas (antispam, antivírus, pré-visualizações) podem pré-carregar as URLs e disparar descadastros por acidente.
A RFC 8058 adiciona um sinal claro: "este unsubscribe é one-click e deve passar por um POST". A ideia é simples:
- GET: não deve disparar um descadastro silencioso (no máximo, uma página informativa).
- POST: dispara o descadastro efetivo.
Formato esperado: os dois headers indispensáveis
Aqui está o mínimo viável nos headers:
List-Unsubscribe: <https://www.captaindns.com/unsubscribe/opaque-token>
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Pontos de atenção:
- A URL deve ser HTTPS.
- A URL deve estar entre os sinais
<...>. - Evite URLs "frágeis" (sessões, cookies, dependência de JavaScript).
- Mantenha o link de descadastro no conteúdo (rodapé), mas não conte com ele para a conformidade "one-click".
Lado servidor: como é a requisição "one-click"
Quando o usuário clica em "Descadastrar" no Gmail/Yahoo, seu servidor normalmente recebe:
POST /unsubscribe/opaque-token HTTP/1.1
Host: captaindns.com
Content-Type: application/x-www-form-urlencoded
List-Unsubscribe=One-Click
O que o seu endpoint deve fazer:
- validar o token (destinatário + lista / segmento);
- registrar o opt-out (idempotente: duas chamadas = mesmo resultado);
- responder
200 OKrapidamente, sem redirecionamento e sem fluxo adicional.
Para saber
Se o seu endpoint exibe uma página de confirmação ou exige outro clique, você perde justamente a experiência "de um clique" esperada pelos provedores.
DKIM: o detalhe que (quase sempre) quebra tudo
Esse mecanismo depende de headers. Se a sua cadeia de envio reescreve os headers, ou se a sua assinatura DKIM não se mantém, você cria o cenário clássico:
- o email chega,
- o Gmail às vezes mostra a opção,
- mas os sinais de conformidade ficam inconsistentes.
Na prática: assine corretamente, alinhe seus domínios e evite "middlewares" que mexem nos headers depois da assinatura.
Checklist de conformidade
| Item | Verificação | Ferramenta recomendada |
|---|---|---|
List-Unsubscribe | 1 URL HTTPS, dentro de <...> | CaptainDNS → Analisador de cabeçalhos de email |
List-Unsubscribe-Post | Valor List-Unsubscribe=One-Click | CaptainDNS → Analisador de cabeçalhos de email |
| Endpoint | Aceita POST, descadastra sem atrito | Logs da aplicação + testes manuais |
| SPF / DKIM / DMARC | Autenticação alinhada | CaptainDNS → SPF / DKIM / DMARC Check |
| Redirecionamentos | Nada de cadeias de redirecionamento | curl -I na URL |
| Tempo | Opt-out tratado rapidamente (operacional) | Monitoramento / alertas |
Erros comuns a evitar
- Colocar apenas
mailto:emList-Unsubscribee achar que basta. - Usar uma URL sem HTTPS, ou uma URL que depende de cookie.
- Disparar o descadastro em um GET (pré-carregamento = descadastros fantasma).
- Responder com redirecionamento para uma página de "preferências" obrigatória.
- Esquecer a idempotência (POST duplo = erros ou reinscrições involuntárias).
O "one-click unsubscribe" não é firula: é uma alavanca direta para reduzir reclamações de spam e um marcador de maturidade técnica.
Se o seu descadastro em um clique estiver conforme (headers, endpoint POST, sem atrito), você ganha em dois pontos: menos denúncias de spam e uma entregabilidade mais estável, mesmo quando o Gmail endurece os controles.
FAQ
É preciso remover o link de descadastro do rodapé?
Não. Mantenha um link visível na mensagem (rodapé). O "one-click" via headers é um mecanismo para as interfaces do Gmail/Yahoo, não um substituto do link clássico para o usuário.
Posso redirecionar para uma página de preferências em vez de descadastrar?
Para o fluxo "one-click", evite qualquer tela intermediária. O seu endpoint deve processar o POST e aplicar o opt-out sem pedir uma ação adicional.
Isso vale apenas para campanhas de marketing?
É especialmente crítico para marketing e mensagens "subscribed". Em emails puramente transacionais, a exigência é menos rígida, mas misturar fluxos (marketing + transacional no mesmo domínio) continua sendo má ideia para a reputação.
Como testar rápido?
Envie uma mensagem de teste para uma caixa Gmail, abra o email, use a opção "Descadastrar" e depois verifique no servidor se o POST chega e se o endereço fica em opt-out (e não recebe as próximas campanhas).
Glossário
List-Unsubscribe
Header de email que expõe um mecanismo de descadastro (URL e/ou mailto) utilizável pelos clientes de email.
List-Unsubscribe-Post
Extensão que indica que o descadastro "one-click" deve ser processado via requisição HTTP POST.
RFC 8058
Padrão IETF que descreve o sinal "one-click" para List-Unsubscribe, pensado para evitar descadastros acidentais devido ao pré-carregamento de URLs.
Remetente massivo
Remetente de alto volume (newsletters, marketing, notificações) para o qual os provedores aplicam controles mais estritos de conformidade e reputação.
