Sommige organisaties willen dat alle uitgaande e-mail langs een externe server gaat, bijvoorbeeld voor archivering, datalekpreventie of een externe compliance-controle. Dat regel je met een outbound gateway. De grootste valkuil is authenticatie: doe je het verkeerd, dan faalt SPF en DKIM en belandt je hele uitgaande stroom in spam.
Wat een outbound gateway doet
Bij een outbound gateway stuurt Gmail je uitgaande berichten niet rechtstreeks naar de ontvanger, maar eerst naar een externe server die je aanwijst. Die server verwerkt de mail, bijvoorbeeld archivering of filtering, en levert hem daarna af bij de uiteindelijke ontvanger.
Dit verandert wie de mail uiteindelijk aflevert. De ontvangende server ziet de gateway als verzendende host, niet Google. Daarom moet je authenticatie zo inrichten dat de gateway namens jouw domein mag verzenden.
Niet voor elke organisatie nodig
Een outbound gateway is vooral nuttig voor archivering en compliance waarbij je wettelijk elke uitgaande mail moet bewaren of controleren. Voor gewone organisaties zonder die eisen is het overbodige complexiteit die meer risico dan waarde toevoegt.
Twee manieren om het in te stellen
Google biedt sinds geruime tijd twee routes naar hetzelfde doel. Kies bewust welke past bij je situatie.
- Instelling Outbound gateway: de snelste route. Je vult onder Routing het adres van je gateway in en slaat op. Dit geldt voor de hele organisatie (de top-level organisatie-eenheid) en kent weinig opties.
- Instelling Routing met een host: meer flexibiliteit. Je definieert eerst een host onder Hosts en maakt daarna een routingregel die je kunt beperken tot specifieke organisatie-eenheden, met fijnmazige TLS- en certificaatcontroles.
Voor een echte compliance- of archiveringsopstelling kies je bijna altijd de Routing-methode, omdat je daar TLS en certificaateisen per route kunt afdwingen.
De gateway configureren via Hosts en Routing
Je stelt de uitgaande route in onder Hosts en Routing in de Admin-console. Je definieert de externe server als host en maakt een routingregel die uitgaande mail daarheen stuurt.
Zo stel je de outbound gateway in
- Open de Admin-console en ga naar Apps, Google Workspace, Gmail, Hosts.
- Voeg een nieuwe host toe met het adres of IP-adres en de poort van je externe gateway.
- Vink bij de host de gewenste beveiliging aan: Require mail to be transmitted over a secure transport (TLS) connection, en waar mogelijk ook Require CA signed certificate en Validate certificate hostname.
- Ga naar Routing en maak een uitgaande routingregel die berichten naar de zojuist toegevoegde host stuurt.
- Beperk de regel desgewenst tot de juiste organisatie-eenheid.
- Test met een uitgaand bericht en controleer de aflevering en de authenticatie bij de ontvanger.
Reken op tot 24 uur
Wijzigingen aan routing zijn meestal binnen enkele minuten actief, maar Google geeft aan dat het tot 24 uur kan duren. Plan de overstap dus niet vlak voor een belangrijke verzendpiek en houd de Admin-loggebeurtenissen in de gaten.
Authenticatie behouden
Dit is het kritieke punt. Als de gateway namens jouw domein verstuurt, moet je SPF-record die gateway toestaan en moet DKIM-ondertekening intact blijven. Anders ziet de ontvangende server een niet-geautoriseerde afzender en faalt DMARC.
Voeg de gateway toe aan je SPF-record
Vergeet je de gateway-server aan je SPF-record toe te voegen, dan faalt SPF voor al je uitgaande mail en stuurt elke DMARC-handhavende ontvanger je berichten naar spam of weigert ze. Dit raakt je volledige uitgaande communicatie tegelijk. Controleer SPF en DKIM voor je dit in productie zet.
Werk dus eerst je SPF-record bij met het IP-adres of het include-mechanisme van je gatewayleverancier, en bevestig dat de gateway de bestaande DKIM-handtekening ongewijzigd doorgeeft.
TLS-versleuteling afdwingen
De verbinding tussen Gmail en je gateway moet versleuteld zijn, anders reist je mail onbeschermd over het netwerk. Dwing TLS af op de host of in de routingregel zodat berichten nooit in platte tekst naar de gateway gaan. Zet waar mogelijk ook de certificaatcontrole aan, zodat Gmail alleen verbindt met een gateway die een geldig, CA-ondertekend certificaat presenteert.
Het verschil tussen een goede en een slechte configuratie is concreet:
| Aspect | Goed geconfigureerd | Slecht geconfigureerd |
|---|---|---|
| SPF | Gateway staat in het SPF-record | Gateway ontbreekt, SPF faalt |
| DKIM | Handtekening blijft intact | Handtekening gaat verloren |
| DMARC | Slaagt bij ontvanger | Weigert of markeert als spam |
| TLS | Afgedwongen, certificaat gecontroleerd | Onversleuteld, geen controle |
| Bezorging | Mail komt in de inbox | Mail in spam, geen zicht op falen |
Monitoren na ingebruikname
Na de overstap monitor je nauwlettend. Controleer in Postmaster Tools of je authenticatie nog honderd procent slaagt en of je reputatie stabiel blijft. Een outbound gateway introduceert een extra schakel die kan falen.
Test echt naar buiten
Houd na ingebruikname een paar dagen lang de bezorging in de gaten met testberichten naar externe adressen op Gmail, Outlook en een eigen domein. Een gateway die intern lijkt te werken maar bij externe DMARC-handhavers faalt, ontdek je alleen door echt naar buiten te testen.
Wanneer heb ik een outbound gateway nodig?
Vooral voor wettelijke archivering of externe DLP-controle van alle uitgaande mail. Heb je die eisen niet, dan voegt een gateway meer risico dan waarde toe.
Breekt een gateway mijn DKIM?
Niet als de gateway de DKIM-handtekening ongewijzigd doorgeeft. Verandert de gateway de inhoud of headers van het bericht, dan kan de handtekening ongeldig worden en faalt DKIM.
Moet ik de gateway aan mijn SPF toevoegen?
Ja. Voeg het IP-adres of het include-mechanisme van de gateway toe aan je SPF-record, anders faalt SPF voor al je uitgaande mail.
Is TLS verplicht naar de gateway?
Technisch niet, maar je moet het afdwingen om je mail onderweg te beschermen. Zet waar mogelijk ook de certificaatcontrole aan.
Wat is het verschil tussen de Outbound gateway-instelling en Routing?
De Outbound gateway-instelling is de snelle route voor de hele organisatie met weinig opties. Routing met een host geeft je per organisatie-eenheid fijnmazige TLS- en certificaateisen, en is de betere keuze voor compliance.
Hoe lang duurt het voor de wijziging actief is?
Meestal binnen enkele minuten, maar Google geeft aan dat het tot 24 uur kan duren. Plan de overstap dus niet vlak voor een verzendpiek.
Een outbound gateway is een zware ingreep die alleen loont bij echte archiverings- of compliance-eisen. De sleutel tot succes is authenticatie: voeg de gateway toe aan je SPF, behoud DKIM, dwing TLS af en monitor na ingebruikname. Dan archiveer of filter je veilig zonder je bezorging te breken.