# Geavanceerde SMTP-relay configuratie voor printers en apps [[TOC]] Je multifunctionele printer wil gescande documenten mailen, je CRM verstuurt facturen en je applicatieserver stuurt meldingen. Al die systemen moeten e-mail versturen namens je domein. De SMTP-relayservice van Google Workspace maakt dat mogelijk, mits je het veilig configureert. Doe je het slordig, dan creeer je een open relay die spammers misbruiken. ## Wat de SMTP-relay doet De SMTP-relayservice accepteert e-mail van jouw apparaten en applicaties en levert die af namens je domein. Het verschil met gewone Gmail-verzending is dat deze systemen geen menselijke gebruiker met wachtwoord zijn, maar machines die op een andere manier moeten authenticeren. De relay ondersteunt hogere volumes dan handmatige verzending en is bedoeld voor geautomatiseerde mail. Je beveiligt hem met toegestane IP-adressen, SMTP-authenticatie of een combinatie van beide, en je dwingt TLS af. :::info title="Twee verwante diensten" Er bestaan twee opties die op elkaar lijken. De **SMTP-relayservice** (`smtp-relay.gmail.com`) is voor verzending naar interne en externe ontvangers met hoge limieten, en is wat je nodig hebt voor printers en apps. Het **beperkte Gmail-uitvoeradres** (`aspmx.l.google.com`) levert alleen af aan Gmail-gebruikers binnen je eigen organisatie. Kies de relay als je apparaat ook naar buiten moet mailen. ::: ## De relay configureren Je stelt de relay in onder Routing in de Admin-console. Daar definieer je welke afzenders mogen relayen en hoe ze authenticeren. Je hebt het beheerdersrecht voor Gmail-instellingen nodig, en je voegt de instelling toe op het niveau van de hoofdorganisatie. :::howto title="Relay instellen in de Admin-console" 1. Open de Admin-console en ga naar **Apps**, **Google Workspace**, **Gmail**, **Routing**. 2. Scroll naar **SMTP-relayservice** en klik op **Configureren** om een nieuwe instelling toe te voegen. 3. Stel bij **Toegestane afzenders** in wie mag relayen: alleen geregistreerde gebruikers, alleen je eigen domein, of (niet aanbevolen) elk adres. 4. Kies de authenticatie: **alleen accepteren van opgegeven IP-adressen**, **SMTP-authenticatie vereisen**, of beide. 5. Zet **TLS-versleuteling vereisen** aan. 6. Bewaar de instelling en configureer je printer of applicatie met host `smtp-relay.gmail.com` en de juiste poort. ::: De host is `smtp-relay.gmail.com`. Voor verbindingen met TLS gebruik je poort 587. De relay accepteert ook poort 25 en 465. Gebruik bij voorkeur 587 met TLS, want zonder versleuteling reist je mail onbeschermd over het netwerk. ## Veilig authenticeren De authenticatiemethode bepaalt hoe veilig je relay is. Toegestane IP-adressen werken goed voor apparaten met een statisch IP, zoals printers op kantoor. SMTP-authenticatie met inloggegevens werkt voor applicaties die overal kunnen draaien. :::warn title="Voorkom een open relay" Sta nooit verzending toe vanaf een breed IP-bereik dat je niet volledig beheert, en kies niet de optie waarbij elk afzenderadres mag relayen. Een te ruim ingestelde relay maakt van je domein een open relay die spammers misbruiken om mail namens jou te versturen. Dat vernietigt je reputatie en zet je op blocklists. Beperk de toegestane IP-adressen tot exact je eigen apparaten. ::: De drie praktische scenario's: | Methode | Wanneer | Inloggegevens | | --- | --- | --- | | IP-authenticatie | Apparaten met vast IP, zoals kantoorprinters. Voer het exacte IP of een krap bereik in. | Geen wachtwoord nodig | | SMTP-authenticatie | Applicaties zonder vast IP. Gebruik een speciaal serviceaccount met een sterk wachtwoord. | App-wachtwoord of OAuth | | Gecombineerd | Gevoelige systemen. Vereis zowel een vertrouwd IP als geldige inloggegevens. | Beide | ## SPF en de relay De mail die via de relay vertrekt, moet je SPF-record toestaan. Voeg `include:_spf.google.com` toe aan je SPF zodat ontvangende servers de mail als legitiem zien. Vergeet je dit, dan faalt SPF en belandt de mail vaker in spam. Combineer dit met DKIM en een DMARC-beleid voor de beste afleverbaarheid. ## Afzenderrestricties en limieten Beperk wie via de relay mag versturen. Sta alleen je eigen domein toe als afzender, tenzij je een goede reden hebt voor meer. Zo voorkom je dat de relay namens willekeurige domeinen verzendt. Houd rekening met de limieten van de relay: maximaal 100 ontvangers per SMTP-transactie en tot 10.000 berichten per gebruiker per 24 uur. Stuur je naar meer dan 100 ontvangers, open dan een nieuwe transactie of gebruik het RSET-commando. :::tip title="Gebruik een apart serviceaccount" Maak voor applicaties die via SMTP-authenticatie relayen een apart serviceaccount aan, niet het account van een medewerker. Vertrekt die medewerker en verwijder je het account, dan stopt anders je facturatiesysteem met mailen. Een dedicated serviceaccount is beheersbaar, controleerbaar en je kunt het isoleren als er iets misgaat. ::: :::faq ### Welk adres en welke poort gebruik ik in mijn printer? Gebruik host `smtp-relay.gmail.com`. Voor TLS gebruik je poort 587. De relay accepteert ook poort 25 en 465, maar 587 met TLS heeft de voorkeur. ### Heb ik een wachtwoord nodig? Bij authenticatie op IP-adres niet, daar volstaat het vertrouwde IP. Bij SMTP-authenticatie wel: gebruik dan de inloggegevens van een serviceaccount. ### Waarom belandt mijn relay-mail in spam? Meestal omdat je SPF-record de Google-relay niet toestaat. Voeg `include:_spf.google.com` toe en zorg dat DKIM en DMARC kloppen. ### Hoeveel mail mag ik via de relay versturen? Maximaal 100 ontvangers per SMTP-transactie en tot 10.000 berichten per gebruiker per 24 uur. Voor meer ontvangers open je een nieuwe transactie. ### Wat is het verschil met het beperkte Gmail-uitvoeradres? De SMTP-relayservice levert af aan interne en externe ontvangers met hoge limieten. Het beperkte Gmail-uitvoeradres levert alleen af aan Gmail-gebruikers binnen je eigen organisatie. ::: De SMTP-relay is onmisbaar voor apparaten en applicaties, maar vraagt om strakke beveiliging. Beperk de toegestane IP-adressen, gebruik serviceaccounts, dwing TLS af en voeg de relay toe aan je SPF. Dan versturen je machines betrouwbaar namens je domein zonder dat je een open relay creeert.