Vraag: Hoe configureer ik SMTP Relay in Google Workspace?

Uitleg: SMTP Relay is een dienst van Google Workspace waarmee servers, applicaties en apparaten e-mail kunnen versturen via de mailservers van Google, zonder dat ze hoeven in te loggen met een gebruikersnaam en wachtwoord per gebruiker. De afzender wordt geauthenticeerd op basis van IP-adres en TLS-versleuteling, al dan niet aangevuld met mailbox-authenticatie. Dit maakt SMTP Relay de aanbevolen oplossing voor situaties waarin je vanuit een applicatie, webserver, CRM, ERP, multifunctional of monitoringsysteem namens je domein mail wilt versturen.

In tegenstelling tot het standaard adres smtp.gmail.com (dat één gebruiker authenticeert per verbinding en beperkt is tot 2.000 berichten per dag) is smtp-relay.gmail.com bedoeld voor organisatie-brede verzending tot 10.000 berichten per gebruiker per dag, en op organisatieniveau tot enkele miljoenen per 24 uur.

info
Het verschil tussen smtp.gmail.com en smtp-relay.gmail.com
  • smtp.gmail.com is bedoeld voor één gebruiker die vanuit een client of apparaat wil versturen. Authenticatie via OAuth of app-wachtwoord op gebruikersniveau. Limiet 2.000 berichten per dag. Geschikt voor één e-mailclient of één klein apparaat.
  • smtp-relay.gmail.com is bedoeld voor servers en applicaties die centraal beheerd worden. Authenticatie via IP-adres, mailbox-credentials, of beide. Limiet 10.000 berichten per gebruiker per dag, plus hogere organisatie-limieten. Geschikt voor printers, scanners, websites, ERP-systemen en transactionele mail.
warning
Sinds mei 2025 verplicht: moderne TLS-ciphers
Google heeft op 30 mei 2025 ondersteuning voor de 3DES-encryptie gestopt voor inkomende SMTP-verbindingen. Oude verzendsystemen die nog 3DES gebruiken kunnen sinds die datum geen mail meer aan Gmail-accounts afleveren, dus ook niet via SMTP Relay. Zorg dat het verzendende systeem een moderne TLS-cipher ondersteunt (TLS 1.2 of hoger met AES-GCM of ChaCha20-Poly1305).

Wanneer kies je voor SMTP Relay?

dnsOn-premise of cloudserver
Een eigen webserver, applicatie- of databaseserver die transactionele mail moet versturen (bijvoorbeeld bestelbevestigingen, factuur-PDF's, wachtwoord-resets).
printMultifunctionals (printers, scanners)
Apparaten die gescande documenten via e-mail moeten versturen. SMTP Relay werkt op vrijwel alle merken zonder dat het apparaat OAuth hoeft te ondersteunen.
settings_applicationsBedrijfsapplicaties zonder OAuth
Boekhoudsoftware, ERP, helpdesk, CRM of zelfgebouwde applicaties die SMTP gebruiken maar geen OAuth ondersteunen.
forward_to_inboxOn-premise mailserver doorrouten
Een Exchange-server, Postfix-server of legacy mailsysteem die via Google wil versturen om SPF en DKIM netjes geregeld te krijgen.

Oplossing:

Het inrichten van SMTP Relay bestaat uit drie hoofdstappen: configureren in de Google Admin Console, het apparaat of de applicatie aan de SMTP Relay-instellingen koppelen, en SPF/DKIM/DMARC kloppend maken zodat de berichten ook daadwerkelijk aankomen.

1
Open de SMTP Relay-instelling in de Admin Console
Ga naar admin.google.com en log in met een account dat de Gmail Settings administrator rol heeft. Een gewone gebruikersadministrator is niet voldoende.

Navigeer naar:

Appsarrow_forward_iosGoogle Workspacearrow_forward_iosGmailarrow_forward_iosRoutering

Scroll naar onderen tot je het kopje SMTP relay service ziet. Beweeg je muis over de instelling en klik op Configureren. Bestaat er al een regel? Klik dan op Bewerken of Nog een toevoegen wanneer je een tweede regel wilt aanmaken voor een ander apparaat of een andere applicatie.

warning
De SMTP Relay-instelling kan alleen op het hoogste organisatieniveau worden toegevoegd, bewerkt of verwijderd. Op onderliggende Organizational Units kun je de instelling wel inzien maar niet wijzigen. Plan dus vooraf welke regels je nodig hebt, in plaats van per OU iets te willen instellen.
2
Geef de regel een herkenbare naam
Voer een duidelijke naam in voor de regel, bijvoorbeeld Printer kantoor begane grond, WordPress contactformulier of Exchange Hub Transport. Bij meerdere regels helpt deze naam je later om snel de juiste te vinden tijdens troubleshooting.
3
Stel de toegestane afzenders in (Allowed senders)
Onder Toegestane afzenders kies je vanaf welk type adres er mag worden verzonden:
  • Alleen geregistreerde Gmail- of Google Workspace-gebruikers in mijn domeinen. Verstandig voor de meeste interne use cases. Voorkomt dat een gecompromitteerd apparaat mail kan versturen namens een willekeurig adres.
  • Alleen adressen in mijn domeinen. Iets ruimer, sta ook adressen toe die geen geregistreerde gebruiker zijn (bijvoorbeeld noreply@jouwdomein.nl).
  • Elk adres (zelfs adressen buiten je domeinen). Alleen gebruiken bij hoge uitzondering. Dit opent de relay voor verzending namens externe domeinen en wordt vrijwel altijd afgeraden.
lightbulb
Voor printers en scanners kies je doorgaans Alleen adressen in mijn domeinen in combinatie met een speciaal aangemaakt verzendadres zoals scanner@jouwdomein.nl. Voor servers met transactionele mail (WordPress, ERP) is Alleen geregistreerde gebruikers de veiligste keuze.
4
Configureer de authenticatie
Onder Authenticatie kies je hoe het apparaat of de server zich identificeert bij Google. Je hebt drie opties, die je ook kunt combineren:
  • Alleen mail van de opgegeven IP-adressen accepteren. Voer hier het publieke IP-adres in van de server, printer of applicatie. Dit is de meest gebruikte optie voor on-premise apparaten met een vast IP-adres.
  • Vereis SMTP-authenticatie. Het apparaat moet inloggen met de gebruikersnaam en een app-wachtwoord (of OAuth voor moderne servers). Dit gebruik je wanneer het IP-adres onvoorspelbaar is, bijvoorbeeld voor cloudservers met wisselende IP's.
  • Beide opties. Combinatie van IP-restrictie én authenticatie, voor maximale veiligheid.
warning
IP-adressen voor cloud- en SaaS-platforms
Werk je vanuit een cloudprovider zoals AWS, Azure, Google Cloud of een hosted WordPress-omgeving? Vraag dan de range van uitgaande IP-adressen op bij die provider. Voor veel WordPress-hosters, zoals SiteGround, Kinsta en WP Engine, vind je deze in hun documentatie. Voeg álle relevante IP's toe, want bij belasting kan een verzoek vanuit een willekeurig IP binnen de range vertrekken.
5
Zet TLS-versleuteling verplicht aan
Vink onder Versleuteling de optie Vereis TLS-versleuteling aan. Dit zorgt ervoor dat verkeer tussen jouw apparaat en Google altijd versleuteld is en weigert plain-text verbindingen.
check_circle
Dit aanvinken is sinds 2025 feitelijk verplicht. Google's bulk sender requirements eisen TLS-versleuteling voor alle e-mailverkeer, en zonder dit vinkje kan een ouder apparaat per ongeluk plain-text versturen, wat tot bezorgingsproblemen en compliance-issues leidt.

Klik tot slot op Opslaan. Wijzigingen worden meestal binnen enkele minuten actief, maar Google geeft officieel tot 24 uur als marge aan.

6
Configureer het verzendende apparaat of de applicatie
Gebruik op de server, het apparaat of in de applicatie de volgende waarden:
InstellingWaarde
SMTP serversmtp-relay.gmail.com
Poort587 (STARTTLS, aanbevolen) of 465 (SSL) of 25 (alleen voor on-premise mailservers achter een NAT)
VersleutelingTLS / STARTTLS verplicht
AuthenticatieGeen (bij IP-authenticatie), of gebruikersnaam + app-wachtwoord (bij SMTP-authenticatie)
AfzenderadresEen adres dat valt binnen de in stap 3 gekozen scope
info
Welke poort kies je?
  • Poort 587 met STARTTLS is de moderne standaard en werkt vanaf vrijwel elk apparaat en netwerk. Eerste keus.
  • Poort 465 met SSL werkt op oudere apparaten die geen STARTTLS ondersteunen.
  • Poort 25 gebruik je alleen vanuit een on-premise mailserver achter een NAT-firewall, en alleen wanneer poort 25 uitgaand niet door je provider is geblokkeerd (veel Nederlandse ISP's blokkeren poort 25 uitgaand om spam tegen te gaan).
7
Werk je SPF-record bij
Google ondertekent uitgaande mail via SMTP Relay met DKIM, maar voor SPF blijft het de verantwoordelijkheid van het verzendende domein om Google in zijn SPF-record op te nemen.

Voeg aan je SPF-record toe:

include:_spf.google.com

Een typische combinatie ziet er bijvoorbeeld zo uit:

v=spf1 include:_spf.google.com include:spf.brevo.com ~all

Heb je naast Google ook eigen webservers die rechtstreeks versturen (dus zonder SMTP Relay)? Voeg dan ook hun IP's toe via ip4: of ip6:. Houd er rekening mee dat je het maximum van 10 DNS-lookups niet overschrijdt.

8
Controleer of DKIM is geactiveerd
Voor SMTP Relay is het cruciaal dat DKIM actief staat op je domein. Google ondertekent zelf elk via Relay verstuurd bericht met de DKIM-handtekening van het envelope sender-domein, maar dat werkt alleen wanneer dat domein DKIM heeft ingeschakeld in de Google Admin Console.

Loop dit even na:

Appsarrow_forward_iosGoogle Workspacearrow_forward_iosGmailarrow_forward_iosAuthenticatiearrow_forward_iosDKIM-authenticatie

Status moet Authenticatie e-mail zijn voor het juiste domein. Staat het op Niet gestart, dan zal vrijwel elke ontvanger de via Relay verzonden mail in spam plaatsen of weigeren.

warning
Sinds februari 2024 (Google bulk sender requirements) en verder aangescherpt in 2026 is DKIM feitelijk verplicht. Berichten zonder geldige DKIM-handtekening lopen het risico te worden geweigerd met de foutmelding 5.7.26 (authentication required).
9
Test de relay
Test de verbinding vanaf het apparaat of de server. Voer een testverzending uit naar minimaal drie verschillende ontvangers:
  • Een Gmail-account, om DKIM, SPF en DMARC headers te kunnen controleren via Origineel weergeven.
  • Een Outlook- of Microsoft 365-account, om te zien hoe Microsoft je domein scoort.
  • Een ander mailplatform zoals Yahoo of een zakelijke provider, om verschillen in spamfiltering te ontdekken.

In de berichtheaders van het Gmail-bericht moet je onder 

Authentication-Results
minimaal zien staan: spf=pass, dkim=pass en idealiter dmarc=pass.

Voor diepere diagnose gebruik je in de Admin Console:

Rapportagearrow_forward_iosAudit en onderzoekarrow_forward_iosE-mailloggebeurtenissen

Hiermee kun je per bericht volgen hoe het door Google's systeem is verwerkt, inclusief eventuele foutcodes van de relay-dienst.

Specifieke configuraties per platform

info
Multifunctionals (printers en scanners)
  • Canon, HP, Lexmark: configureer SMTP-server op smtp-relay.gmail.com, poort 587 met TLS, geen authenticatie wanneer je in stap 4 het IP-adres hebt toegevoegd. Vul een afzenderadres in zoals scanner-1@jouwdomein.nl.
  • Ricoh, Savin, Lanier: deze merken hebben beperkte OAuth-ondersteuning, dus SMTP Relay zonder authenticatie is hier veruit de beste keuze.
  • Xerox: ondersteunt op het moment van schrijven geen OAuth, gebruik SMTP Relay met IP-authenticatie of een app-wachtwoord op een speciaal aangemaakt verzendaccount.
  • Brother, Konica Minolta, Kyocera, Sharp, Toshiba: stel SMTP-host in op smtp-relay.gmail.com, poort 587, vink TLS aan. Bij apparaten die per se een gebruikersnaam vragen, gebruik dan een speciaal aangemaakt account met een app-wachtwoord.
info
WordPress (met WP Mail SMTP, FluentSMTP of vergelijkbare plugin)
  • Bij hosted WordPress: vraag het IP-adres of de IP-range van je hostingprovider op en voeg deze toe aan de SMTP Relay-toegestane IP's.
  • Plugin-instellingen: SMTP host smtp-relay.gmail.com, poort 587, encryptie TLS, authenticatie aan, gebruikersnaam je Workspace-adres, wachtwoord een app-wachtwoord.
  • Stel het From-adres in de plugin gelijk aan het ingelogde Workspace-account, anders krijg je een mismatch tussen From en envelope sender en mogelijk DMARC-failures.
info
Microsoft Exchange (on-premise) als smart host
  • Maak op een Hub Transport-server een nieuwe Send Connector aan.
  • Adres: smtp-relay.gmail.com op poort 587.
  • Configureer Smart Host Authentication op None wanneer je IP-authenticatie gebruikt, of geef de gebruikersnaam en het app-wachtwoord op.
  • Vereis TLS via 
    Set-SendConnector -RequireTLS $true
    .
  • Pas de standaard timeout-instellingen niet aan in Exchange. Google's relay-dienst is afgestemd op de standaard waarden van Exchange 2016/2019/SE.
info
Linux-server met Postfix
Configureer in 
/etc/postfix/main.cf
:
  • relayhost op 
    [smtp-relay.gmail.com]:587
    .
  • smtp_use_tls op 
    yes
    .
  • smtp_tls_security_level op 
    encrypt
    voor verplichte TLS.
Wanneer je IP-authenticatie gebruikt, hoef je geen SASL-credentials op te geven. Bij SMTP-authenticatie wel: configureer 
smtp_sasl_password_maps
met de gebruikersnaam en het app-wachtwoord.

Limieten en sender requirements vanaf 2026

warning
Bulk sender requirements en Postmaster Tools v2
Sinds februari 2024 hanteren Google en Yahoo strikte regels voor afzenders, die in 2026 verder zijn aangescherpt:
  • Verzendt je organisatie minder dan 5.000 berichten per dag naar Gmail-accounts? Dan moet je minimaal SPF óf DKIM correct hebben staan. In de praktijk wordt sterk aangeraden om beide te configureren.
  • Verzendt je organisatie 5.000 of meer berichten per dag naar Gmail-accounts? Dan zijn SPF, DKIM én DMARC alle drie verplicht. Spam-rate moet onder de 0,3% blijven (idealiter onder 0,1%) en TLS-versleuteling is afgedwongen.
  • Sinds oktober 2025 toont Postmaster Tools v2 een binaire Pass of Fail compliance-status. Een Fail-status betekent dat je e-mails risico lopen op afwijzing, controleer dit tabblad wekelijks na het opzetten van SMTP Relay.

Limieten voor SMTP Relay:

  • Per gebruiker: 10.000 ontvangers per 24 uur via smtp-relay.gmail.com.
  • Per organisatie: tot 4,6 miljoen ontvangers per 24 uur, mits de verbindings-caching efficiënt is.
  • Berichten die de limiet overschrijden worden uitgesteld of geweigerd met een 421 of 550 foutmelding.

Veelgemaakte configuratiefouten en hoe je ze voorkomt

  • Verkeerde server gebruiken. Mensen wijzen vaak smtp.gmail.com aan voor een applicatie waar smtp-relay.gmail.com hoort, of andersom. Werkt het apparaat per gebruikersaccount? Dan smtp.gmail.com. Verstuurt het centraal namens de organisatie? Dan smtp-relay.gmail.com.
  • IP-adres ontbreekt of is gewijzigd. Wanneer een server een dynamisch IP-adres krijgt (bijvoorbeeld na een verhuizing in de cloud) faalt de IP-authenticatie. Werk de IP-lijst in de Admin Console direct bij of stap over op SMTP-authenticatie.
  • TLS niet verplicht gesteld. Zonder het vinkje Vereis TLS-versleuteling kan een ouder apparaat zonder TLS versturen, wat sinds 2025 leidt tot directe afwijzing door Gmail.
  • Verzendadres buiten de toegestane scope. Wanneer je in stap 3 hebt gekozen voor Alleen geregistreerde gebruikers maar je apparaat verstuurt vanaf noreply@jouwdomein.nl, faalt de verzending omdat dat adres geen geregistreerde gebruiker is.
  • SPF niet bijgewerkt na ingebruikname. Mail wordt afgewezen of beland in spam omdat het ontvangende systeem ziet dat de Google-server niet in jouw SPF staat. Dit is de meest voorkomende oorzaak van bezorgproblemen bij nieuwe relay-configuraties.
  • DKIM niet geactiveerd op het verzendende domein. Zonder DKIM faalt DMARC-alignment, wat sinds 2024 leidt tot een 5.7.26 foutmelding bij Gmail.
  • Te veel afzenders op één regel. Maak liever meerdere SMTP Relay-regels aan met elk een specifieke scope, dan één brede regel met veel toegestane IP's en alle adressen open. Dat maakt troubleshooten en intrekken bij incidenten veel eenvoudiger.