← Blog

Lista de email sana: doble opt-in + baja en 1 clic (RFC 8058)

Una lista de email "limpia" no se mide por el número de suscriptores, sino por lo que pasa cuando pulsas Enviar. Si el 2 % de tus envíos rebota y Gmail te manda a spam tras tres campañas, el problema casi nunca es tu contenido: es tu captación y tu gestión de las bajas. Estos son los dos bloques que lo cambian todo, y cómo montarlos de forma concreta.

Doble opt-in: confirmar antes de añadir

El single opt-in añade la dirección en cuanto se envía el formulario. El problema: heredas las erratas (`gmial.com`), las direcciones desechables, los bots que rellenan tus formularios y las suscripciones malintencionadas (alguien que suscribe la dirección de un tercero). Todas esas direcciones pudren tu reputación: rebotes, spam traps, quejas. El doble opt-in añade un paso: envías un email de confirmación con un enlace único, y solo das de alta al suscriptor si hace clic.

Envío del formulario → creas un registro en estado `pending` (no `confirmed`).
Generas un token firmado de vida corta (24-48 h) y lo envías en el enlace de confirmación.
Al hacer clic, verificas el token, pasas el estado a `confirmed` y registras la fecha y hora del consentimiento (fecha, IP, user-agent).
Sin clic dentro del plazo → el registro `pending` se purga. Nunca recibió ni una sola newsletter.

Beneficio medible: un email de confirmación enviado a `gmial.com` rebota antes de entrar en tu lista. Una dirección falsa nunca hace clic. Conviertes tu puerta de entrada de suscripción en un filtro de calidad gratuito. El coste: "pierdes" entre el 10 y el 30 % de inscritos que no confirman, pero son justamente los que habrían hundido tu tasa de apertura y tus quejas.

Guarda la prueba del consentimiento (timestamp + IP + texto exacto de la casilla marcada). Ante una queja RGPD o una reclamación de un proveedor de envío, ese registro es lo que te salva. Sin él, no puedes demostrar que el suscriptor pidió recibir tus emails.

Baja en 1 clic: List-Unsubscribe + RFC 8058

Desde febrero de 2024, Gmail y Yahoo lo exigen a todo remitente masivo (~5000 mensajes/día): un mecanismo de baja en un solo clic, sin página intermedia, sin login. Ya no es una cortesía, es una condición de entregabilidad. El `List-Unsubscribe` (RFC 2369) lista los métodos; el `List-Unsubscribe-Post` (RFC 8058) declara que el cliente puede enviar un POST automático: eso es el verdadero "1 clic", el botón nativo de Gmail/Apple Mail dispara un POST sin abrir tu sitio.

List-Unsubscribe: <https://zylior.com/u/unsub?t=SIGNED_TOKEN>, <mailto:unsub@zylior.com?subject=unsub-SIGNED_TOKEN>
List-Unsubscribe-Post: List-Unsubscribe=One-Click

Pon la URL HTTPS primero, el `mailto:` en segundo lugar (fallback). Ambos apuntan al suscriptor mediante un token firmado, nunca el email en claro en la URL.
Tu endpoint debe aceptar un POST con el cuerpo `List-Unsubscribe=One-Click` y dar de baja sin confirmación ni inicio de sesión. Un GET puede mostrar una página de "hecho", pero el POST actúa de inmediato.
Responde `200` rápido y trata la baja de forma idempotente: el cliente puede reenviar el POST.
Mantén también un enlace de baja visible en el cuerpo del email: la RFC no sustituye la obligación legal de un enlace en el que se pueda hacer clic.

Trampa frecuente: un endpoint que exige una sesión o devuelve una página de "preferencias" en el POST de un clic. Gmail considera entonces que la baja ha fallado, y eso cuenta contra tu reputación tanto como una queja. Prueba el POST con curl, no solo el clic desde un correo real.

Dirección postal y baja con alcance

Primero, la dirección postal física: CAN-SPAM la impone para los envíos comerciales, y su ausencia es una señal negativa para los filtros antispam. Ponla en el pie de página, junto al enlace de baja: un apartado de correos o la dirección de la empresa basta. Luego, la baja con alcance: en multi-tenant, un suscriptor puede existir en varios contextos (newsletter, notificaciones de producto, onboarding de un tenant). Una baja debe retirar al suscriptor del ámbito correcto, no eliminarlo globalmente ni dejarlo en las demás listas por error.

Modela el consentimiento por el par `(subscriber, list_id)` o `(subscriber, tenant_id, purpose)`, no por un simple booleano sobre el suscriptor.
El token de baja debe codificar qué lista tiene como objetivo. Un clic desde la newsletter no debe cortar los emails transaccionales (facturas, restablecimientos de contraseña).
Distingue baja de marketing y eliminación de cuenta: el `mailto:` de un clic nunca debe eliminar la cuenta.
Conserva el historial de bajas (quién, cuándo, qué lista) para no volver a suscribir a nadie por una importación descuidada.

Por qué esto protege tu entregabilidad

Los proveedores (Gmail, Microsoft, Yahoo) puntúan a los remitentes con señales concretas: tasa de quejas (apunta a < 0,1 %, alerta roja por encima del 0,3 %), tasa de rebote, presencia de spam traps y facilidad para darse de baja. El doble opt-in aplasta los rebotes y las traps en el origen; el 1 clic convierte los "marco como spam" (que te cuestan caro) en bajas limpias (que no te cuestan nada). Proteges la reputación de tu dominio de envío, y por tanto la bandeja de entrada de todos tus futuros emails, incluidos los transaccionales.

Mide antes/después: vigila la tasa de quejas con Google Postmaster Tools y la tasa de rebote de tu ESP. Si pasas de single a doble opt-in, deberías ver caer los rebotes duros por debajo del 1-2 % en unas pocas campañas. Ese es el KPI que dice que tu puerta de entrada filtra de verdad.

En la práctica: monta el doble opt-in hoy mismo en tu formulario (estado `pending` + token + purga), añade las dos cabeceras `List-Unsubscribe` con un endpoint POST de un clic probado con curl, pega tu dirección postal en el pie de página y modela el consentimiento por lista en vez de por suscriptor. Estos cuatro cambios no requieren una reforma a fondo —unas horas de desarrollo— y son los que deciden si acabas en la bandeja de entrada o en la pestaña de Promociones. Empieza por el que más te falta.

La newsletter

Al suscribirte aceptas recibir la newsletter de Zylior. Baja en 1 clic en cada correo.