Sommige organisaties willen hun inkomende e-mail eerst door een externe beveiligingsdienst laten controleren voordat Gmail hem aflevert. Dat regel je met een inbound gateway. Het is krachtig maar gevoelig: een verkeerde configuratie verstoort spamfiltering en breekt authenticatie. Daarom doe je het zorgvuldig.
Wat een inbound gateway doet
Bij een inbound gateway wijs je je MX-records naar een externe filterdienst in plaats van direct naar Google. Die dienst controleert de mail en stuurt de schone berichten door naar Gmail. In de Admin-console vertel je Gmail dat deze gateway voor jou inkomende mail aanlevert.
Dit verandert hoe Gmail het afzender-IP ziet. Zonder configuratie zou Gmail het IP van de gateway zien in plaats van de echte afzender, wat spamfiltering en authenticatie verstoort. De gateway-instelling lost dat op.
Heb je een inbound gateway echt nodig?
Google levert zelf al sterke spam- en malwarefiltering. Een inbound gateway voegt alleen waarde toe als je een specifieke externe dienst gebruikt met functies die Google niet biedt, of als compliance-eisen dat vereisen. Voor de meeste organisaties is het niet nodig.
De gateway configureren
Je stelt de gateway in onder de Gmail-instellingen in de Admin-console. Je voert de IP-adressen of het bereik van de gateway in zodat Gmail die als vertrouwde aanleveraar herkent.
Inbound gateway instellen in de Admin-console
- Open de Admin-console en ga naar Apps, Google Workspace, Gmail, Spam, phishing en malware.
- Zoek de instelling Inbound gateway en klik op Bewerken.
- Voer bij Gateway IPs de IP-adressen of het CIDR-bereik van je externe gateway in.
- Zet Automatically detect external IP aan zodat Gmail het oorspronkelijke afzender-IP uit de headers haalt.
- Bepaal of berichten van buiten de gateway alsnog worden geaccepteerd of afgewezen.
- Klik op Opslaan en test met een testbericht dat via de gateway binnenkomt.
Het afzender-IP behouden
Het belangrijkste detail is dat Gmail het echte afzender-IP moet kennen, niet dat van de gateway. Anders past Gmail spamfiltering toe alsof alle mail van je gateway komt, en faalt de SPF-controle. Je vertelt Gmail in welke header het oorspronkelijke IP staat zodat het de juiste bron beoordeelt.
Verkeerd afzender-IP breekt je filtering
Configureer je het oorspronkelijke afzender-IP verkeerd, dan beoordeelt Gmail alle inkomende mail op het IP van je gateway. Dat betekent dat SPF altijd op de gateway slaat en spamfiltering blind wordt voor de echte afzender. Spam en phishing glippen er dan ongefilterd doorheen. Test dit grondig.
Buiten de gateway om
Een goede inbound gateway-opzet betekent dat alle legitieme mail via de gateway binnenkomt. Mail die rechtstreeks bij Gmail aankomt en de gateway overslaat is verdacht, want een aanvaller probeert dan de filtering te omzeilen. Je kunt Gmail instellen om dergelijke directe mail te weigeren.
Hoe je omgaat met directe mail die de gateway omzeilt, hangt af van je situatie:
| Aanpak | Wat je instelt | Wanneer geschikt |
|---|---|---|
| Strikte beveiliging | Weiger alle mail die niet via de gateway binnenkomt | Stabiele opzet waarin MX volledig naar de gateway wijst |
| Migratie-overgang | Accepteer tijdelijk beide routes | Tijdens het omzetten van de MX-records |
| Hybride opzet | Accepteer directe mail maar markeer hem voor extra controle | Als nog niet alle bronnen via de gateway kunnen |
Testen voor productie
Voordat je dit op je hele organisatie loslaat, test je grondig. Stuur testberichten van buitenaf, controleer in de headers of het echte afzender-IP wordt herkend en of SPF, DKIM en DMARC nog correct evalueren.
Rol gefaseerd uit met een terugvaloptie
Behoud tijdens de overgang een backup-MX of een testperiode waarin je de oude en nieuwe route vergelijkt. Een verkeerd geconfigureerde gateway kan al je inkomende mail blokkeren. Een gefaseerde uitrol met monitoring voorkomt dat je organisatie ineens geen mail meer ontvangt.
Heb ik een inbound gateway nodig?
Alleen als je een externe filterdienst gebruikt die functies biedt die Google niet heeft, of als compliance-eisen dat verplichten. Voor de meeste organisaties volstaat de filtering van Gmail zelf.
Verstoort een gateway mijn SPF?
Niet als je het oorspronkelijke afzender-IP correct configureert. Doe je dat niet, dan beoordeelt Gmail SPF op het IP van de gateway in plaats van de echte afzender.
Kan ik mail buiten de gateway om weigeren?
Ja, en dat is zelfs aan te raden voor sterkere beveiliging. Mail die de gateway overslaat is verdacht omdat een aanvaller zo de filtering kan ontwijken.
Vervangt de gateway de filtering van Google?
Nee, Gmail blijft filteren tenzij je dat expliciet uitschakelt. De gateway komt bovenop de filtering van Google.
Waar vind ik de instelling in de Admin-console?
Onder Apps, Google Workspace, Gmail, Spam, phishing en malware, bij het onderdeel Inbound gateway.
Een inbound gateway is een geavanceerde ingreep die alleen loont bij een echte externe filterbehoefte. Configureer het afzender-IP zorgvuldig, weiger mail die de gateway omzeilt en test grondig voor productie. Zo voeg je beveiliging toe zonder je mail flow te breken.