# ARC instellen voor doorgestuurde e-mailverificatie [[TOC]] Een klassiek probleem: iemand stuurt jouw correct geauthenticeerde mail door, en plots faalt de authenticatie bij de uiteindelijke ontvanger. Doorsturen en mailinglijsten breken namelijk SPF en vaak ook DKIM. ARC lost dit op door de oorspronkelijke verificatie onderweg te bewaren. Voor Gmail-gebruikers werkt het grotendeels automatisch, maar begrijpen wat het doet helpt je bij het oplossen van bezorgproblemen. ## Waarom doorsturen authenticatie breekt Wanneer een server jouw mail doorstuurt, verandert hij de envelop-afzender naar zichzelf. Daardoor klopt SPF niet meer: de ontvanger ziet de doorstuurserver, niet jouw geautoriseerde server. Mailinglijsten voegen daarnaast vaak tekst toe, zoals een voettekst of een onderwerp-prefix, waardoor de DKIM-handtekening over de gewijzigde inhoud niet meer klopt. Het gevolg is dat legitieme, correct verzonden mail bij de eindontvanger faalt op authenticatie en als verdacht wordt behandeld, terwijl er inhoudelijk niets mis mee is. Dat is precies het scenario waarvoor ARC bestaat. :::info title="ARC vervangt SPF, DKIM en DMARC niet" ARC is een aanvulling die het tussenstation-probleem oplost. De originele authenticatie blijft bestaan, en ARC voegt een betrouwbare keten toe die in feite zegt: toen ik dit bericht ontving, was het correct geauthenticeerd. De eindontvanger kan die keten meewegen bij zijn DMARC-oordeel. ::: ## Hoe ARC werkt ARC legt bij elk tussenstation de authenticatiestatus vast in een ondertekende header. Zo ontstaat een keten van bevestigingen die de eindontvanger kan controleren. De keten bestaat technisch uit drie headervelden per stap: `ARC-Authentication-Results`, `ARC-Message-Signature` en `ARC-Seal`. De volgorde van een typische doorgestuurde mail ziet er zo uit: 1. De originele afzender verstuurt geauthenticeerde mail met geldige SPF en DKIM. 2. Het tussenstation ontvangt de mail en verifieert SPF, DKIM en DMARC. 3. Het tussenstation legt die resultaten vast in een ondertekende ARC-header en plaatst zijn zegel. 4. De mail wordt doorgestuurd, waarbij SPF en vaak ook DKIM onderweg breken. 5. De eindontvanger ziet falende SPF en DKIM, maar wel een geldige ARC-keten. 6. De eindontvanger weegt de ARC-keten mee en kan de mail alsnog als legitiem behandelen. ## ARC in Google Workspace Het goede nieuws voor Workspace-beheerders: Gmail ondersteunt ARC automatisch. Je hoeft niets in de Admin-console aan te zetten en er is geen DNS-record voor nodig. Gmail valideert ARC bij inkomende mail en neemt het verdict over in een gedocumenteerde notitie in de `Authentication-Results`-header. Wanneer Gmail zelf mail doorstuurt, voegt het de juiste ARC-headers toe zodat de volgende ontvanger de keten kan vertrouwen. :::howto title="Doorstuurproblemen met ARC nakijken" 1. Controleer eerst dat je eigen basisauthenticatie klopt: een geldig **SPF**-record, ondertekende **DKIM**, en een gepubliceerd **DMARC**-beleid. 2. Open een probleembericht in Gmail en kies **Origineel weergeven** om de ruwe headers te zien. 3. Zoek naar `ARC-Authentication-Results`, `ARC-Message-Signature` en `ARC-Seal` en kijk of het tussenstation een keten toevoegde. 4. Controleer in de `Authentication-Results`-regel of Gmail `arc=pass` rapporteert. 5. Beheer je een mailinglijst of doorstuurdienst, controleer dan of die software ARC ondersteunt en activeer het. 6. Gebruik je DMARC-aggregaatrapporten om te zien of doorgestuurde mail correct wordt beoordeeld. ::: ## De grenzen van ARC ARC is geen wondermiddel. Het werkt alleen als het tussenstation ARC ondersteunt en zelf betrouwbaar is. De eindontvanger moet de ondertekenende partij ook vertrouwen, want een keten van een onbekend of dubieus tussenstation zegt weinig. :::warn title="Vertrouwen is overdraagbaar, dus niet blind vertrouwen" Een kwaadwillend tussenstation kan een ARC-keten toevoegen die beweert dat een bericht geauthenticeerd was. De eindontvanger weegt daarom mee hoe betrouwbaar het ondertekenende tussenstation zelf is. ARC van een onbekende bron telt minder zwaar dan ARC van een vertrouwde provider zoals Gmail. Een geldige ARC-keten is dus een signaal, geen garantie. ::: ## Wanneer ARC je helpt ARC is vooral relevant als jouw mail vaak wordt doorgestuurd of via mailinglijsten loopt, of als je zelf mail ontvangt via zulke routes. Klagen gebruikers dat doorgestuurde nieuwsbrieven of lijstmail in spam belandt, dan is een gebroken authenticatieketen vaak de oorzaak en kan ARC de oplossing zijn. :::tip title="Kies lijstsoftware die ARC ondersteunt" Beheer je een mailinglijst of doorstuurdienst, kies dan software die ARC ondersteunt en zet het aan. Zonder ARC breekt je dienst de authenticatie van elk doorgestuurd bericht, waardoor je leden de mail in de spammap krijgen. Met ARC bewaar je het vertrouwen en blijft de lijstmail netjes in de inbox. ::: ## Status van ARC in 2026 ARC is gedefinieerd in RFC 8617, dat lange tijd de experimentele status had. In april 2026 is de IETF DMARC-werkgroep opnieuw ingericht met als doel deze specificatie op termijn naar de status Historic te verplaatsen. In de praktijk verandert dat voorlopig weinig: grote mailboxproviders zoals Gmail, Microsoft 365 en Apple iCloud blijven ARC valideren en meewegen. Voor Workspace-gebruikers is ARC dus nog steeds een werkend en relevant signaal. Het loont wel om dit dossier in de gaten te houden, want de exacte toekomstige rol kan nog veranderen. :::faq ### Moet ik ARC handmatig inschakelen in Google Workspace? Nee. Gmail valideert ARC automatisch en voegt zelf ARC-headers toe bij doorsturen. Er is geen instelling in de Admin-console en geen DNS-record nodig. ### Vervangt ARC mijn SPF, DKIM of DMARC? Nee. ARC is een aanvulling die doorgestuurde mail redt waar SPF en DKIM breken. Je hebt nog steeds een correct SPF-, DKIM- en DMARC-record nodig. ### Werkt ARC altijd? Nee. ARC werkt alleen als elk tussenstation in de route ARC ondersteunt en betrouwbaar is, en als de eindontvanger de keten meeweegt. ### Waarom belandt mijn doorgestuurde mail toch in spam? Mogelijk ondersteunt een tussenstation geen ARC, of vindt de ontvanger de ondertekenende partij niet betrouwbaar genoeg. Controleer ook of je eigen DMARC-beleid niet te streng is voor legitieme doorstuurroutes. ### Hoe zie ik of ARC is toegepast op een bericht? Open het bericht in Gmail, kies **Origineel weergeven** en zoek naar de `ARC-Seal`- en `ARC-Authentication-Results`-headers en naar `arc=pass` in de `Authentication-Results`-regel. ### Is ARC nog toekomstvast? Voorlopig wel. De IETF heeft in 2026 stappen gezet om de specificatie naar Historic te verplaatsen, maar de grote providers blijven ARC honoreren. Houd ontwikkelingen in de gaten. ::: ARC lost een hardnekkig probleem op: het breken van authenticatie bij doorsturen en mailinglijsten. Gmail past het automatisch toe, dus als Workspace-gebruiker profiteer je er meteen van. Zorg dat je basisauthenticatie klopt en kies ARC-ondersteunende software voor lijsten en doorstuurdiensten. Dan blijft legitieme doorgestuurde mail uit de spammap.