Waarom DKIM bijna altijd stuk gaat zodra je e mail forwarding gebruikt
Het is waarschijnlijk het meest frustrerende e mail probleem dat je als beheerder kunt tegenkomen. Je configureert SPF, DKIM en DMARC correct. Alles staat groen. Tests zoals MailTester en Google Postmaster Tools geven perfecte scores. Maar iemand heeft een forwarder ingesteld bij TransIP, MijnDomein, Hostnet of een willekeurige cPanel omgeving en plotseling klapt DKIM volledig in elkaar.
Dit is geen bug in DKIM. Dit is exact hoe DKIM ontworpen is. Zodra een mail wordt doorgestuurd verandert bijna altijd:
- de body
- één of meerdere headers
- de manier waarop servers de mail signeren
- de route waarlangs DMARC alignment wordt gecontroleerd
Het resultaat is dat de DKIM handtekening niet meer overeenkomt met de originele mail. Dat ziet Gmail, Outlook en Yahoo als een potentiële spoofing aanval waarna de mail wordt afgekeurd of in spam belandt.
Dieper technisch: hoe DKIM precies breekt bij forwarding
DKIM gebruikt een cryptografische handtekening die is gebaseerd op een hash van de body en geselecteerde headers. De kleinste wijziging breekt de handtekening. Bij forwarding ontstaan de volgende problemen:
- 1. Header rewriting – forwardsystemen passen meestal het Return Path aan.
- 2. Body footers – sommige providers voegen automatisch disclaimers of banners toe.
- 3. Encoding changes – veel forwarders veranderen de manier waarop attachments of non ASCII content wordt gecodeerd.
- 4. SPF misalignment – forwarding server verzendt de mail opnieuw vanaf een ongeautoriseerd IP.
- 5. DMARC alignment problemen – als SPF faalt moet DKIM het herstellen maar DKIM is door wijzigingen ongeldig.
Dit verklaart waarom forwarding zonder aanvullende technieken steeds minder betrouwbaar wordt in 2024 en later.
Waarom grote providers zoals Gmail en Outlook ARC verplicht beginnen te maken
ARC (Authenticated Received Chain) is ontworpen om het inherente probleem van forwarding op te lossen. ARC voegt een keten toe van:
- ARC Authentication Results – toont hoe de originele mail geverifieerd werd
- ARC Message Signature – ondertekent de state van de mail op dat moment
- ARC Seal – beschermt de volledige keten tegen manipulatie
Bij forwarding blijft de originele DKIM validatie dus zichtbaar, zelfs als de body later is gewijzigd. Dat geeft ontvangende servers de zekerheid dat de mail ooit geldig was.
Praktijkvoorbeeld: een forwarder bij TransIP en hoe Gmail dit interpreteert
Stel dat iemand een domein heeft bij TransIP en alle mail laat forwarden naar Gmail. De flow ziet er zo uit:
Stap 1: afzender stuurt mail naar ontvanger (origineel DKIM geldig)
Stap 2: TransIP forwarder ontvangt de mail
Stap 3: TransIP stuurt dezelfde mail door naar Gmail
Stap 4: SPF is nu ongeldig (IP mismatch)
Stap 5: DKIM wordt ongeldig door minimale wijzigingen
Stap 6: DMARC faalt volledig
Stap 7: mail gaat in spam of wordt rejected
Als TransIP ARC zou implementeren (op moment van schrijven: niet volledig), zou Gmail kunnen zien:
ARC Seal: DKIM was geldig bij originele server
ARC Authentication Results: SPF en DMARC alignment waren correct bij origineDit verandert de uitkomst compleet. Daarom is ARC cruciaal.
Waarom DMARC zonder ARC steeds minder goed werkt
DMARC vertrouwt op alignment. Als zowel SPF als DKIM breken bij forwarding kan DMARC niets meer verifiëren. Daardoor heb je een enorme toename van:
- legitieme mails die in spam komen
- forwarded mails die nooit aankomen
- gebruikers die klagen over “plotseling werkt mijn mail niet meer”
ARC is de enige techniek die dit structureel oplost.
ARC implementatiestatus in Nederland (2024 2025)
- TransIP – forwarders ondersteunen geen ARC keten
- Hostnet – forwarding breekt DKIM, geen ARC implementatie
- MijnDomein – geen ARC support
- Site.nl – forwarding wordt ongewijzigd doorgestuurd, DKIM breekt
- Cloud86 – afhankelijk van gekozen pakket, nog geen uniforme ARC support
Veel Nederlandse hosts zitten dus jaren achter op Gmail en Outlook.
Tool: analyseer jouw headers (werkt direct in WordPress)
Plak hieronder je volledige e-mailheaders:
Externe bronnen (zeer betrouwbaar)
Interne Webhostland artikelen die perfect aansluiten
- Domeinnaam verhuizen – relevant bij het migreren van mailflows.
- Site.nl ervaring – nuttig om forwarding gedrag te begrijpen.
- Yourhosting pakketten – inzicht in mailsetup per pakket.
- MijnDomein WordPress installeren – extra context bij hun DNS en mail routing.
Samenvatting
DKIM faalt bijna altijd bij e mail forwarding door wijzigingen in headers, body en routing. SPF helpt niet, want forwarding breekt de alignment. DMARC helpt niet omdat zowel SPF als DKIM ongeldig worden. ARC is de enige techniek die de volledige keten van authentieke mailservers bewaart zodat ontvangende servers kunnen zien dat de mail oorspronkelijk geldig was.
Gmail, Outlook en Yahoo vertrouwen ARC steeds meer. Wie forwarding gebruikt, moet ARC implementeren of anders structurele bezorgproblemen accepteren.
