Wat is e-maildoorsturing? Hoe werkt het en wat zijn de beste werkwijzen?

Het doorsturen van e-mails is een van de meest voorkomende oorzaken van mislukte bezorgingen, en de meeste domeinbeheerders merken niet dat er iets mis is. Door het doorsturen worden de berichtgegevens zodanig gewijzigd dat moderne authenticatieprotocollen niet meer werken, en dit blijft vaak onopgemerkt. Omdat de gegevens niet meer overeenkomen, beschouwen ontvangende servers de doorgestuurde e-mail als verdacht en sturen deze vaak naar de spamfolder of blokkeren deze zelfs volledig.

Wat is het doorsturen van e-mails?

Het doorsturen van e-mail is een proces dat op de server plaatsvindt en waarbij inkomende e-mail van het ene adres naar het andere wordt doorgestuurd. Omdat dit op de e-mailserver gebeurt, is het voor de oorspronkelijke afzender volledig onzichtbaar en hoeft de ontvanger hier niets voor te doen. 

Maar laten we eerst eens het verschil maken tussen handmatig en automatisch doorsturen van e-mails. Om eventuele verwarring weg te nemen, helpt het om te kijken naar waar en wanneer het doorsturen plaatsvindt:

• Handmatig e-mails doorsturen: Dit gebeurt nadat een bericht in je inbox is binnengekomen. Je opent de e-mail, klikt op 'Doorsturen', voert het adres van een nieuwe ontvanger in en drukt op verzenden. Dit vereist handmatige actie voor elke afzonderlijke e-mail.
• Automatisch doorsturen van e-mails: Dit is een 'instellen en vergeten'-regel regel. Je configureert het één keer (in je e-mailinstellingen of op de server), en het systeem stuurt inkomende berichten direct door naar een ander adres voordat je ze zelfs maar te zien krijgt.

Organisaties maken in verschillende veelvoorkomende situaties gebruik van het automatisch doorsturen van e-mails: 

• Domeinaliassen: Algemene zakelijke e-mailadressen rechtstreeks doorsturen naar de persoonlijke inbox van een medewerker.
• Regels voor automatisch doorsturen: Filters op gebruikers- of systeemniveau maken om e-mail door te sturen naar afzonderlijke accounts. 
• Mailinglijsten: Het in één keer verspreiden van één binnenkomend bericht onder een grote groep abonnees. 
• Doorsluiting naar derden: Transactielogboeken of supporttickets naar externe systemen sturen voor verwerking. 

E-mail doorsturen versus omleiden

Hoewel mensen deze twee termen vaak door elkaar gebruiken, hebben ze voor een mailserver een verschillende betekenis. 

Wanneer een e-mail wordt doorgestuurd, maakt je mailserver in feite een kopie van het bericht en start hij een nieuwe transactie. Hij voegt zijn eigen achtergrondgegevens toe aan de e-mail, maar laat de naam van de oorspronkelijke afzender zichtbaar in de ‘Van’-regel die je in je inbox ziet. Juist dit verschil wekt de argwaan van ontvangende servers. 

Een echte doorsturing is passiever van aard. In plaats van het bericht opnieuw op te bouwen, stuurt je server de oorspronkelijke e-mail gewoon door naar een nieuwe bestemming, zonder de achtergrondgegevens of verzendinstellingen te wijzigen. Voor de ontvangende server lijkt het alsof de doorgestuurde e-mail rechtstreeks vanuit de inbox van de oorspronkelijke afzender naar die van hen is gestuurd; geen tussenpersoon, geen gewijzigde gegevens en geen verstoorde authenticatie. 

In één oogopslag: doorsturen versus omleiden

Hoe werkt het doorsturen van e-mails?

Hier volgt een stapsgewijze beschrijving van hoe een bericht zich via het internet verspreidt: 

• Stap 1: De oorspronkelijke afzender stuurt de e-mail naar de eerste mailserver van de ontvanger. 
• Stap 2: De oorspronkelijke server ontvangt het binnenkomende bericht en toetst dit aan een reeks doorstuurregels. 
• Stap 3: De doorstuurintermediair brengt een nieuwe verbinding tot stand om het bericht naar de uiteindelijke bestemmingsserver te verzenden, waarbij het verkeer via zijn eigen systeem en IP-adres wordt gerouteerd. 
• Stap 4: De doelserver ontvangt het bericht van een onverwacht tussengeplaatst IP-adres. 

Het conflict 

Tijdens dit proces vinden er drie grote veranderingen plaats: 

1. Het IP-adres van de verbinding verandert in dat van de doorstuurserver, 
2. De 'Van'-header blijft hetzelfde als het domein van de oorspronkelijke afzender, en 
3. De berichttekst of de headers kunnen worden gewijzigd, bijvoorbeeld door voetteksten van mailinglijsten of transit-headers toe te voegen. 

Deze structurele wijzigingen verstoren de e-mailverificatie. 

Hoe het doorsturen van e-mail de authenticatie beïnvloedt

Wanneer e-mails automatisch worden doorgestuurd, leidt dit tot wijzigingen die de manier waarop e-mailverificatieprotocollen een bericht controleren, verstoren. 

SPF (Sender Policy Framework) 

SPF controleert inkomende e-mail door na te gaan of het IP-adres van de verbindende server voorkomt in het DNS-record van het domein dat is opgegeven in het Return-Path-veld van de afzender. 

• Het probleem? Wanneer een e-mail wordt doorgestuurd, brengt de tussenpersoon een nieuwe verbinding tot stand om het bericht te verzenden en leidt hij het verkeer via zijn eigen infrastructuur en IP-adres. 
• Het resultaat? Aangezien het IP-adres van de doorstuurserver niet in het SPF-record van de oorspronkelijke afzender staat vermeld, mislukt de controle van de afzender op de eindbestemming. SPF zal dus bijna altijd mislukken bij het doorsturen. 

DKIM (DomainKeys Identified Mail) 

DKIM maakt gebruik van een cryptografische handtekening die aan het domein is gekoppeld om te controleren of de inhoud van het bericht tijdens de verzending niet is gewijzigd. 

• Het probleem? Deze cryptografische handtekening blijft bij een standaard doorsturing meestal ongewijzigd als de tussenliggende server het bericht passief doorstuurt. Als de doorsturende server echter de berichttekst wijzigt of trackingpixels of headers toevoegt, veranderen de onderliggende gegevens. 
• Het resultaat? Zodra de inhoud wordt gewijzigd, klopt de DKIM-handtekening niet meer, waardoor de authenticatie volledig ongeldig wordt. 

DMARC 

DMARC fungeert als een beleidslaag die vereist dat een e-mailbericht voldoet aan de SPF- of DKIM-verificatie om de authenticatie te doorstaan. 

• Het probleem? Omdat doorsturen per definitie SPF ongeldig maakt, is je e-mail afhankelijk van DKIM om DMARC te doorstaan. Als de tussenpersoon die het bericht doorstuurt ook de berichttekst of de headers wijzigt, mislukt DKIM net als SPF. 
• Het resultaat? Wanneer beide protocollen falen, mislukt de DMARC-validatie als direct gevolg daarvan. Als het domein van de oorspronkelijke afzender een strikt DMARC-beleid hanteert (p=reject), wordt de legitieme doorgestuurde e-mail door de ontvangende server geblokkeerd.

De ontwikkeling van e-mailverificatie: van ARC naar DKIM2

Om de inherente tekortkomingen aan te pakken die doorsturen met zich meebrengt voor traditionele e-mailverificatie, heeft de internetgemeenschap oorspronkelijk ARC (Authenticated Received Chain) ontworpen, zodat tussenpersonen cryptografisch voor een bericht kunnen instaan.

Wat is ARC?

Simpel gezegd is ARC een e-mailprotocol dat werkt als een reeks notariële stempels. Terwijl een e-mail via doorstuurende tussenstations (zoals een mailinglijst of een inbox met automatische doorsturing) wordt doorgestuurd, ondertekent elke server het bericht cryptografisch en staat hij in voor de authenticatieresultaten van de oorspronkelijke verzender. Hierdoor kan de uiteindelijke ontvangende server de geverifieerde keten terugvolgen en vaststellen dat de e-mail legitiem was voordat deze werd doorgestuurd.

De overstap naar DKIM2

Het landschap op het gebied van e-mailbeveiliging is echter aan het veranderen. Volgens het IETF-ontwerp van 17 mei 2026 (draft-ietf-dkim-dkim2-spec-02)is de sector actief bezig met de overgang naar DKIM2.

Aangezien de operationele lessen van ARC worden geïntegreerd in deze strakkere, native oplossing, is in een afzonderlijk IETF-ontwerp van april 2026 voorgesteld om ARC officieel te herclassificeren als een historische standaard.

Hoe DKIM2 het doorsturen standaard oplost

Terwijl ARC als een experimentele tijdelijke oplossing fungeerde, lost DKIM2 het probleem van onjuiste doorsturing rechtstreeks binnen het kernprotocol op. Wanneer mailinglijsten of doorstuurdiensten een e-mail wijzigen, gaat DKIM2 hiermee om door een geordende bewakingsketen op te bouwen voor elke stap die het bericht doorloopt.

Elk tussensysteem registreert zijn eigen wijzigingen en voegt zijn eigen handtekening toe. Hierdoor kunnen ontvangende servers de e-mail naadloos terugvolgen naar de oorspronkelijke afzender, zonder dat de authenticatieketen wordt onderbroken.

Belangrijkste verbeteringen in de update van mei 2026:

• Uitgesloten headers: Authentication-Results worden nu uitgesloten van ondertekening om onnodige verificatiefouten te voorkomen wanneer e-mail grenzen overschrijdt.
• Vlaggen voor strengere controle: Afzenders kunnen verbeterde donotmodify en donotexplode vlaggen gebruiken om ongeoorloofde wijzigingen aan berichten of gesplitste routering te voorkomen.
• Gestroomlijnde code: De specificatie zal het overbodige z-body-recept om de manier waarop compatibele implementaties worden gebouwd te vereenvoudigen.

Belangrijke opmerking: DKIM2 is nog steeds een actief IETF-ontwerp en is nog niet officieel geïmplementeerd. De specificatie zal naar verwachting nog verdere technische wijzigingen en verfijningen ondergaan voordat deze formeel wordt gepubliceerd als een definitieve internetstandaard. 

Aanbevolen werkwijzen voor het doorsturen van e-mails

Dit zijn de beste werkwijzen voor het doorsturen van e-mail die domeinbeheerders zouden moeten volgen:

• Geef voorrang aan DKIM-afstemming: Gebruik DKIM als uw belangrijkste authenticatiemethode. Aangezien SPF vaak faalt bij het doorsturen, is een geldige, ongewijzigde DKIM-handtekening vaak uw beste verdediging om de DMARC-validatie te doorstaan. 
• Configureer 'relaxed' canonicalisatie: Stel de DKIM-canonicalisatie van uw mailserver in op c=relaxed/relaxed. Hierdoor zijn kleine wijzigingen in witruimte of hoofdletters/kleine letters in de header tijdens het transport toegestaan zonder dat de cryptografische handtekening wordt verbroken.  
• Bestaande ARC behouden (maar kijk naar DKIM2): Als uw interne e-mailinfrastructuur al gebruikmaakt van ARC-protocolsignering, houd dit dan actief om legacy-gateways te ondersteunen. Investeer echter niet zwaar in nieuwe ARC-ontwikkeling. Volgens de laatste IETF-ontwerpen voor 2026 kan ARC worden geherclassificeerd als een historische standaard, aangezien de operationele lessen ervan worden geïntegreerd in DKIM2.
• Vertrouwde ARC-sealers (voorlopig): Blijf voor Microsoft 365-omgevingen handmatig bekende, gerenommeerde doorstuurintermediairs toevoegen aan uw lijst met vertrouwde ARC-sealers in het Microsoft Defender-portaal. Dit zorgt ervoor dat legitieme doorgestuurde e-mail niet wordt verwijderd terwijl de sector overstapt op DKIM2.
• DMARC-geaggregeerde rapporten controleren: Bekijk uw geaggregeerde XML-gegevens om te zien waar er fouten bij het doorsturen optreden als SPF-only-afstemmingsproblemen. Gebruik deze rapporten om de exacte impact van doorsturen op uw bezorgpercentages te identificeren en te meten. Het controleren van DMARC-beleidsoverschrijvingen kan helpen bij het interpreteren van hoe ontvangende netwerken deze stromen behandelen.
• Overstap naar gedeelde mailboxen: Overweeg voor interne routering het gebruik van gedeelde mailboxen in plaats van regels voor het automatisch doorsturen van de inbox. Met gedeelde mailboxen hebben meerdere gebruikers direct toegang tot dezelfde e-mailstromen, waardoor authenticatieproblemen als gevolg van doorsturen van server naar server worden voorkomen.  
• Pas het beleid geleidelijk toe: Begin met p=none als u actieve doorstuurpaden hebt. Verhoog uw beleid pas naar strengere niveaus (p=quarantine of p=reject) nadat u uw doorgestuurde datastromen via uw monitoringrapporten hebt gecontroleerd. 

Bekijk onze uitgebreide gids voor postdoorsturing of bekijk de richtlijnen voor Google ARC-afzenders om ervoor te zorgen dat uw configuraties voldoen aan de huidige industrienormen.

Soorten e-maildoorsturing

Inzicht in de verschillende operationele niveaus van doorsturen helpt vaststellen waar authenticatieproblemen ontstaan. 

Doorsturen op serverniveau

Dit type wordt geconfigureerd op het niveau van de Mail Transfer Agent (MTA) of de bedrijfsmailserver en past algemene routeringsregels toe op alle inkomende berichten die aan specifieke domeincriteria voldoen. Dit gebeurt direct bij ontvangst en is zeer efficiënt voor bedrijfsaliassen. 

Doorsturen op klantniveau

Dit wordt door individuele gebruikers ingesteld in hun e-mailprogramma, zoals Gmail of Outlook. Het maakt gebruik van door de gebruiker gedefinieerde regels en filters voor de inbox om inkomende berichten door te sturen naar externe, persoonlijke of secundaire accounts. 

Domeinaliassen

Een technische opzet waarbij een heel domein of een specifiek adres al het inkomende verkeer automatisch doorstuurt naar een aparte bestemmingsinbox. Dit wordt vaak gebruikt binnen bedrijven om een onberispelijke publieke reputatie te behouden. 

Mailinglijsten

Een verzendsysteem waarbij een e-mail die naar één centraal adres wordt gestuurd, automatisch wordt doorgestuurd naar een groot aantal individuele abonnees. Bij mailinglijsten is de kans op een DKIM-fout het grootst. 

E-mails doorsturen in Gmail en Outlook

Gmail en Microsoft 365 hanteren het doorsturen van e-mail via verschillende cloudplatforms.

Automatisch doorsturen van e-mails in Gmail

Zo stuur je e-mails door in Gmail:

Stap 1: Ga naar Instellingen

Klik op het tandwielpictogram rechtsboven in Gmail, klik op op 'Alle instellingen weergeven'en ga naar Doorsenden en POP/IMAP .

Stap 2: Koppel het nieuwe adres

1. Klik op 'Doorstuuradres toevoegen' en typ het e-mailadres van de ontvanger in.
2. Ga naar de inbox van die bestemming, open het bevestigingsmailtje van Google en klik op de verificatielink.

Stap 3: Kies hoe je wilt doorsturen

• Om alles door te sturen: Vink aan Een kopie van inkomende e-mail doorsturen naar…, bepaal of u de kopie in uw oorspronkelijke inbox wilt behouden of verwijderen, en klik op Wijzigingen opslaan onderaan.
• Om bepaalde e-mails door te sturen: Klik op 'filter aanmaken' (of gebruik de vervolgkeuzelijst van de zoekbalk), stel je criteria in (zoals een specifieke afzender), vink Stuur het door naaren klik op Filter maken.

Wat gebeurt er achter de schermen?

Wanneer Google een bericht doorstuurt, verloopt dit via zijn eigen servers. Dit is hoe dat de e-mailbeveiliging op de eindbestemming beïnvloedt:

• SPF zal waarschijnlijk mislukken: Omdat de e-mail afkomstig is van de servers van Google in plaats van die van de oorspronkelijke afzender, mislukken standaard SPF-controles meestal.
• DKIM slaagt meestal: Gmail raakt de e-mailtekst niet aan, dus de DKIM-handtekening van de oorspronkelijke afzender blijft intact.
• Gmail voegt (voorlopig) automatisch ARC-headers toe aan doorgestuurde e-mails, waardoor de ontvangende server kan zien dat de e-mail legitiem is, ondanks dat de SPF-controle is mislukt.

Een snelle tip voor Workspace-beheerders: Houd uw DMARC-geaggregeerde rapporten om deze SPF-problemen die door doorsturen worden veroorzaakt bij te houden en te beheren.

E-mails doorsturen in Outlook / Microsoft 365

Microsoft 365 (M365) biedt een breed scala aan opties voor e-mailroutering, maar om de interactie met e-mailbeveiligingsfilters goed te begrijpen, is een zorgvuldige configuratie vereist.

1. Soorten e-maildoorsturing in M365

Beheerders en gebruikers kunnen het doorsturen op drie verschillende manieren instellen:

• Regels voor de Inbox: Individuele regels op gebruikersniveau die binnen Outlook zijn gemaakt.
• Transportregels: Gedetailleerde regels op beheerdersniveau die zijn geconfigureerd in Exchange Online.
• SMTP-mailboxdoorsturing: Directe instellingen voor het doorsturen via Simple Mail Transfer Protocol, toegepast op specifieke mailboxen.

2. Het authenticatieprobleem: SPF- en ARC-fouten

Omdat het doorsturen het traject van de e-mail verandert, is dit inherent in strijd met de standaardprotocollen voor e-mailverificatie:

• SPF-fouten: Tijdens het doorsturen verandert het verbindende IP-adres in dat van het Microsoft-netwerk. Daardoor zal de Sender Policy Framework (SPF)-controle van de oorspronkelijke afzender op de eindbestemming mislukken.
• Standaardinstelling ARC-header: Standaard voegen M365-transportregels Authenticated Received Chain (ARC)-headers toe aan uitgaande doorgestuurde e-mails om de geschiedenis van het bericht te helpen valideren.
• Het resultaat: Ondanks de ARC-headers leidt de verschuiving in IP-adressen vaak tot arc=fail statusfouten voor Microsoft-tenants aan de ontvangende kant.

3. Administratieve oplossingen en beleidsmaatregelen

Om ervoor te zorgen dat e-mails goed aankomen en om te voorkomen dat ze door beveiligingsmaatregelen worden tegengehouden, moeten M365-beheerders in het bedrijfsleven twee cruciale instellingen beheren:

• Vertrouwde ARC-sealers definiëren: Beheerders moeten vertrouwde externe tussenpersonen expliciet vermelden als vertrouwde ARC-sealers in hun Microsoft Defender-portaal om de afleverbaarheid te verbeteren.
• Externe doorsturing toestaan: Microsoft hanteert een algemeen beveiligingsbeleid dat externe automatische doorsturing standaard blokkeert in nieuwere tenants. Vanwege deze beveiligingsmaatregel zullen door gebruikers aangemaakte doorstuurregels stilzwijgend mislukken totdat een beheerder externe doorsturing expliciet toestaat.

Samenvattend

De standaardbeveiligingsfuncties van het internet zijn niet ontworpen voor berichten die van de ene naar de andere server worden doorgestuurd. Wanneer een server een e-mail doorstuurt naar een andere server, wordt het IP-adres van de afzender gewijzigd en vervalt je SPF-beveiliging.

Maar je hoeft de doorsturing van e-mails niet op te offeren voor een goede beveiliging. Met degelijke DKIM-configuraties en ARC-protocollen kun je ervoor zorgen dat je doorgestuurde e-mails de juiste inboxen bereiken. 

Met PowerDMARC hebt u in één oogopslag een overzicht van uw volledige e-maildoorstuurconfiguratie. Via ons platform kunt u geaggregeerde DMARC-gegevens bijhouden, complexe problemen met e-mailaliassen oplossen en perfecte ARC-ondertekening voor uitgaande e-mail in uw hele netwerk implementeren. 

Je hoeft niet meer te gissen of je e-mails wel aankomen. Meld u vandaag nog voor een gratis proefperiode van PowerDMARC en beveilig uw e-mailverkeer van begin tot eind.

Veelgestelde Vragen 

Heeft het doorsturen van e-mails invloed op de SPF? 

Ja. SPF controleert of het IP-adres van de verzendende server overeenkomt met de geautoriseerde IP-adressen in de DNS-records van de afzender. Omdat het bericht bij doorsturen via een tussenliggende server wordt verzonden, komt de verbinding niet overeen met het SPF-record van de oorspronkelijke afzender. De controle zal dus mislukken! 

Heeft het doorsturen van e-mails invloed op DKIM? 

Bij het oude DKIM-systeem mislukt het doorsturen als een mailinglijst of tussenpersoon de tekst van de e-mail wijzigt, voetteksten toevoegt of headers aanpast. Omdat de cryptografische hash verandert, wordt de oorspronkelijke handtekening ongeldig, wat leidt tot DMARC-fouten. Volgens het IETF-ontwerp van 17 mei 2026 zal het toekomstige DKIM2 het doorsturen ondersteunen door een ingebouwde bewakingsketen in te voeren.

In plaats van de authenticatie te doorbreken, registreert elk systeem dat de e-mail verwerkt de aangebrachte wijzigingen en voegt het zijn eigen handtekening toe. Hierdoor kunnen ontvangende servers het bericht naadloos terugvolgen naar de oorspronkelijke afzender.

Waarom komen mijn doorgestuurde e-mails in de spamfolder terecht? 

Doorgestuurde e-mails belanden vaak in de spamfolder omdat de wijziging van het verzendende IP-adres de SPF-validatie doet mislukken. Wanneer deze fout ertoe leidt dat de daaropvolgende DMARC-authenticatie mislukt, markeren ontvangende e-mailsystemen het binnenkomende bericht als niet-geverifieerd of vervalst. 

Wat is het verschil tussen het doorsturen van e-mails en het omleiden van e-mails? 

Bij het doorsturen van e-mails wordt het verzendtraject gewijzigd door de e-mail via een tussenliggende server met een nieuw IP-adres te leiden, waarbij de oorspronkelijke afzendergegevens in de zichtbare headers behouden blijven. Bij het omleiden van e-mails wordt het systeem geïnstrueerd om het oorspronkelijke bericht rechtstreeks naar een secundair adres te verzenden, zonder de eigenschappen van de afzender in de envelop te wijzigen of de authenticatie te verstoren. 

Is het doorsturen van e-mails veilig? 

Bij standaard e-maildoorsturing worden de oorspronkelijke routeringsheaders van het bericht zichtbaar voor systemen van derden, wat het traceren bemoeilijkt en authenticatieprotocollen zoals SPF en DMARC verstoort. Dit maakt het voor kwaadwillenden gemakkelijker om afwijkende stromen te misbruiken, tenzij beveiligingsmaatregelen zoals ARC correct zijn ingesteld.

• Over
• Laatste berichten

Ahona Rudra

Expert domein- en e-mailbeveiliging bij PowerDMARC

Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.

Laatste berichten van Ahona Rudra (Bekijk alle berichten)

• Hoe u risicovolle AI-agenten in Microsoft Entra kunt blokkeren - 15 juni 2026
• Beleid tegen phishing in Office 365: hoe u dit instelt - 3 juni 2026
• Beveiliging van AI-agenten: risico’s, best practices en e-mailverificatie - 2 juni 2026