Nagłówek List-Unsubscribe to ukryty nagłówek wiadomości e-mail, który wskazuje dostawcy skrzynki pocztowej, dokąd wysłać żądanie wypisania. Dzięki temu Gmail, Yahoo i Apple Mail mogą wyświetlić natywny odnośnik "Wypisz się" obok nazwy nadawcy. W połączeniu z nagłówkiem List-Unsubscribe-Post, zdefiniowanym w RFC 8058, umożliwia on wypisanie jednym kliknięciem: odbiorca klika raz, dostawca wysyła automatyczne żądanie do Twojego serwera, a Ty usuwasz dany adres bez konieczności otwierania przez tę osobę jakiejkolwiek strony docelowej. Jeśli wysyłasz masowe wiadomości na konta Gmail lub Yahoo, oba nagłówki są obowiązkowe, a żądania wypisania muszą zostać zrealizowane w ciągu dwóch dni.
Odczytujemy wyłącznie publiczny DNS. Nic nie zapisujemy, dopóki nie przypiszesz domeny do konta.
Do czego służy nagłówek List-Unsubscribe
List-Unsubscribe jest starszy niż standard wypisania jednym kliknięciem. Istnieje od czasu RFC 2369 (1998) jako sposób, w jaki listy mailingowe informują programy pocztowe o dostępnej metodzie wypisania. Nagłówek zawiera jeden lub więcej adresów URI, każdy ujęty w nawiasy kątowe, których klient może użyć, aby usunąć odbiorcę z listy.
Dozwolone są dwa schematy URI:
- Odnośnik
mailto:, który wywołuje wysłanie wiadomości z prośbą o wypisanie na monitorowaną przez Ciebie skrzynkę. - Odnośnik
https:, który wskazuje na punkt końcowy w sieci obsługujący usunięcie z listy.
Minimalny nagłówek zawierający oba wygląda tak:
List-Unsubscribe: <mailto:unsub@example.com?subject=unsubscribe>, <https://example.com/u/abc123>
Sam w sobie nagłówek ten wciąż wymaga interpretacji. Dostawca skrzynki nie może mieć pewności, że przejście pod wskazany adres nie zapisze użytkownika na coś, nie narazi go na śledzenie ani nie będzie wymagało zalogowania. Dlatego historycznie wiele programów pocztowych albo go ignorowało, albo w najlepszym razie pytało użytkownika przed wykonaniem akcji. To właśnie tę lukę zamyka RFC 8058.
Jak RFC 8058 dodaje wypisanie jednym kliknięciem
RFC 8058, opublikowane w styczniu 2018 roku, definiuje towarzyszący nagłówek o nazwie List-Unsubscribe-Post. Jego jedyna prawidłowa wartość to:
List-Unsubscribe-Post: List-Unsubscribe=One-Click
Obecność tego nagłówka jest sygnałem od nadawcy, że adres https: w List-Unsubscribe można bezpiecznie wywołać automatycznie, a poprawnym działaniem jest wysłanie żądania HTTP POST na ten adres z treścią List-Unsubscribe=One-Click. Bez metody GET, bez ładowania strony, bez kroku potwierdzenia. Dostawca skrzynki wykonuje żądanie POST w imieniu użytkownika w momencie, gdy kliknie on natywny element wypisania.
Aby wiadomość się kwalifikowała, muszą zostać spełnione trzy warunki:
- Obecne są zarówno
List-Unsubscribe(z adresem URIhttps:), jak iList-Unsubscribe-Post. - Wiadomość zawiera prawidłowy podpis DKIM, który obejmuje co najmniej pola nagłówków
List-UnsubscribeiList-Unsubscribe-Post. Powstrzymuje to atakującego przed sfałszowaniem lub usunięciem nagłówków w trakcie przesyłania. Jeśli DKIM jest dla Ciebie nowością, zobacz jak skonfigurować DKIM. - Adres wypisania jest unikalny dla każdego odbiorcy i każdej listy, dzięki czemu żądanie POST niesie wystarczająco dużo informacji, aby jednoznacznie określić, kogo i z czego usunąć.
Punkt końcowy musi przyjmować żądanie POST bez plików cookie, uwierzytelniania HTTP ani żadnych innych danych logowania. Dostawca celowo usuwa dane identyfikujące; cały kontekst zawarty jest w nieprzejrzystym tokenie osadzonym w adresie URL. Gdy Twój serwer odbiera żądanie, odczytuje token, usuwa adres i zwraca odpowiedź 200.
Żądanie, które otrzymuje Twój serwer
Żądanie POST wypisania jednym kliknięciem od dostawcy wygląda mniej więcej tak:
POST /u/abc123 HTTP/1.1
Host: example.com
Content-Type: application/x-www-form-urlencoded
Content-Length: 26
List-Unsubscribe=One-Click
Twój program obsługujący powinien traktować każde poprawnie sformułowane żądanie POST pod tym adresem jako prawidłowe wypisanie. Nie wymagaj, aby treść pasowała do czegoś więcej niż pole List-Unsubscribe=One-Click, i nie przekierowuj na stronę potwierdzenia. Ta osoba już skończyła.
mailto kontra https
Oba typy URI mogą pojawić się w List-Unsubscribe, a umieszczenie obu jest dobrą praktyką. Służą różnym klientom i różnym scenariuszom awarii.
| Aspekt | mailto: | https: |
|---|---|---|
| Jeden klik (RFC 8058) | Nie kwalifikuje się | Kwalifikuje się w połączeniu z List-Unsubscribe-Post |
| Sposób wywołania | Klient wysyła wiadomość e-mail | Dostawca wysyła żądanie HTTP POST |
| Szybkość przetwarzania | Zależy od tego, jak szybko odczytasz skrzynkę | Natychmiastowa, maszyna do maszyny |
| Ryzyko awarii | Wiadomość może zostać opóźniona, odfiltrowana lub zablokowana | Niedostępność punktu końcowego zwraca błąd |
| Najlepsze zastosowanie | Rozwiązanie awaryjne dla starszych klientów | Główna ścieżka dla Gmaila i Yahoo |
Adres https: jest tym, na co reagują Gmail i Yahoo przy swoim przycisku wypisania jednym kliknięciem, więc musi być obecny, aby nadawca masowy spełniał wymogi. Wpis mailto: to rozsądne rozwiązanie awaryjne dla programów pocztowych starszych niż RFC 8058 lub takich, które preferują metodę e-mailową. Udostępnij oba i upewnij się, że skrzynka stojąca za dowolnym mailto: jest rzeczywiście monitorowana, ponieważ nieobsługiwana skrzynka wypisań to uchybienie zgodności, które zauważają zarówno regulatorzy, jak i dostawcy.
Wymóg przetwarzania w ciągu dwóch dni
Google i Yahoo wymagają, aby żądanie wypisania przetworzyć w ciągu dwóch dni (48 godzin). Jest to surowsze niż okno dziesięciu dni roboczych, które historycznie dopuszczała ustawa CAN-SPAM w Stanach Zjednoczonych, więc to reguła dostawców jest tą, pod którą należy projektować.
Dwa dni to górna granica, a nie cel. W przypadku żądania POST jednym kliknięciem usunięcie powinno być praktycznie natychmiastowe, ponieważ Twój punkt końcowy otrzymuje żądanie w czasie rzeczywistym. Okno 48 godzin istnieje głównie po to, aby objąć przetwarzanie asynchroniczne, zadania w kolejce oraz żądania mailto:, które trafiają do skrzynki odpytywanej przez Ciebie. Jeśli odbiorca nadal otrzymuje wiadomości promocyjne po wypisaniu się, prowadzi to do skarg na spam, a wysoki wskaźnik skarg w ogóle pogarsza Twoją zdolność docierania do skrzynki odbiorczej. Dodatkowe informacje o tej pętli zwrotnej znajdziesz w czym jest reputacja nadawcy oraz dlaczego e-maile trafiają do spamu.
Kto musi dodać te nagłówki
Wymóg wypisania jednym kliknięciem dotyczy nadawców masowych, których Google i Yahoo definiują jako każdego, kto wysyła 5000 lub więcej wiadomości dziennie na konta prywatne w swoich domenach. Gdy przekroczysz ten próg, wypisanie jednym kliknięciem dołącza do wymogów uwierzytelnionej poczty (SPF, DKIM oraz polityka DMARC), utrzymania wskaźnika skarg na spam poniżej 0,3 procent (a najlepiej poniżej 0,1 procent) i innych reguł. Pełną listę kontrolną omawiamy w wymaganiach dla nadawców masowych na rok 2026 oraz w specyficznych dla dostawców wymaganiach nadawców Google i Yahoo.
Dwa ważne ograniczenia zakresu:
- Wymóg obejmuje pocztę promocyjną i komercyjną. Wiadomości transakcyjne, takie jak resetowanie hasła, potwierdzenia zakupu, powiadomienia o wysyłce i alerty bezpieczeństwa, są zwolnione, ponieważ nie ma z czego się wypisywać. Dodanie nagłówka do poczty transakcyjnej jest nieszkodliwe, ale nie jest wymagane.
- Liczba 5000 dziennie to dolny próg egzekwowania, a nie powód, aby pominąć nagłówek poniżej niego. Wypisanie jednym kliknięciem jest obecnie oczekiwaną praktyką w każdym programie marketingowym, a wczesne dodanie go chroni reputację, zanim zaczniesz skalować wysyłkę.
Jak to wdrożyć
Większość dostawców usług e-mail dodaje oba nagłówki za Ciebie. Platformy takie jak Mailchimp, SendGrid, Postmark, Mailgun, Brevo i Klaviyo generują tokeny dla każdego odbiorcy, podpisują wiadomość podpisem DKIM i uruchamiają punkt końcowy wypisania na własnej infrastrukturze. W takim przypadku Twoim zadaniem jest utrzymanie synchronizacji swojej listy z ich listą wykluczeń oraz potwierdzenie, że nagłówek jest obecny w rzeczywistej wysyłce.
Jeśli wysyłasz pocztę samodzielnie, z serwera aplikacji lub własnej konfiguracji SMTP, całe wdrożenie należy do Ciebie:
- Wygeneruj unikalny, niemożliwy do odgadnięcia token dla każdego odbiorcy i każdej kampanii oraz zapisz powiązanie tokena z subskrybentem.
- Dodaj
List-Unsubscribez adresem URIhttps:zawierającym ten token oraz rozwiązaniem awaryjnymmailto:. - Dodaj
List-Unsubscribe-Post: List-Unsubscribe=One-Click. - Zadbaj o to, aby podpisywanie DKIM obejmowało oba nagłówki w podpisanym zestawie (
h=). To krok, który samodzielni nadawcy najczęściej pomijają. Jeśli żaden z nagłówków nie jest podpisany, dostawcy nie uszanują ścieżki jednego kliknięcia. - Zbuduj punkt końcowy, który przyjmuje nieuwierzytelnione żądanie POST, usuwa subskrybenta, zwraca
200i nigdy nie przekierowuje. - Odpytuj skrzynkę
mailto:i przetwarzaj również te żądania.
Po wdrożeniu wyślij wiadomość testową na konto Gmail i konto Yahoo oraz potwierdź, że natywny odnośnik wypisania pojawia się przy nazwie nadawcy. Możesz też przejrzeć surowe źródło; przewodnik jak czytać nagłówki wiadomości e-mail pokazuje, jak odnaleźć te pola. Wpleć całość w swoje szersze najlepsze praktyki dostarczalności e-maili, aby nie rozjechała się z resztą konfiguracji.
Najczęściej zadawane pytania
Czy nagłówek List-Unsubscribe zastępuje odnośnik do wypisania w treści mojej wiadomości?
Nie. Dostawcy nadal wymagają wyraźnie widocznego odnośnika do wypisania wewnątrz treści wiadomości. Nagłówek dodaje drugą, szybszą ścieżkę, którą dostawca skrzynki prezentuje jako natywny przycisk; nie znosi on obowiązku oferowania widocznego odnośnika, który każdy może odnaleźć i z niego skorzystać.
Dlaczego mój przycisk wypisania jednym kliknięciem nie pojawia się w Gmailu?
Najczęstszą przyczyną jest DKIM. Gmail honoruje wypisanie jednym kliknięciem tylko wtedy, gdy prawidłowy podpis DKIM obejmuje zarówno nagłówek List-Unsubscribe, jak i List-Unsubscribe-Post. Sprawdź, czy obie nazwy nagłówków są wymienione w Twoim znaczniku DKIM h=, czy wartość List-Unsubscribe zawiera adres URI https: i czy List-Unsubscribe-Post brzmi dokładnie List-Unsubscribe=One-Click.
Czy e-maile transakcyjne potrzebują nagłówka List-Unsubscribe?
Nie. Wymóg dotyczy poczty promocyjnej i marketingowej. Wiadomości transakcyjne, takie jak potwierdzenia zakupu, resetowanie hasła i aktualizacje wysyłki, są zwolnione, ponieważ odbiorca nie może zrezygnować z poczty powiązanej z podjętym przez siebie działaniem. Dodanie nagłówka nie szkodzi, ale nie jest wymagane dla tych wiadomości.
Jaką odpowiedź HTTP powinien zwracać mój punkt końcowy wypisania?
Zwróć status 200 po przetworzeniu usunięcia. Nie wymagaj uwierzytelniania, nie ustawiaj plików cookie i nie przekierowuj żądania na stronę potwierdzenia. Dostawca skrzynki wysyła żądanie POST w imieniu użytkownika i oczekuje czystej odpowiedzi o powodzeniu bez dalszej interakcji.
Poprawne dodanie obu nagłówków zależy od podpisywania DKIM, które faktycznie je obejmuje, a uszkodzony lub brakujący podpis to zwykła przyczyna cichej awarii jednego kliknięcia. Uruchom bezpłatne skanowanie w SPFWise, aby sprawdzić konfigurację SPF, DKIM i DMARC oraz potwierdzić, że uwierzytelnianie, na którym opiera się Twoje wypisanie jednym kliknięciem, jest na miejscu.