Defaults.Exposed › Oplossingen › Guides
Gmail 550 5.7.26 "The Sender Is Unauthenticated": de oplossing, in volgorde van vereiste (2026)
Gepubliceerd 2026-07-08
Cijfers per 2026-06-29 · methodologie v7. Geaggregeerde censusgegevens over 261 miljoen beoordeelde domeinen. Zie hoe wij beoordelen.
Gmail geeft 550 5.7.26 terug wanneer uw bericht de SPF- en DKIM-authenticatiecontroles niet doorstaat. Los het op door minstens één van SPF of DKIM te laten slagen voor uw verzenddomein — de meeste afzenders missen dit: van de 12.145.313 domeinen die Google’s servers autoriseren via _spf.google.com, handhaaft slechts 18,5% DMARC, volgens de Defaults.Exposed-census van 261.086.232 domeinen.
De oplossing is DNS-werk, geen supportticket: bevestig dat uw verzend-IP reverse DNS heeft, laat SPF of DKIM slagen voor het domein dat Gmail daadwerkelijk controleert, laat DKIM vervolgens aligneren met uw From-adres en publiceer een DMARC-record. Hieronder staat de volledige volgorde van vereisten, plus een decodertabel voor de familie 550 5.7.26 en de verwante codes.
Wat betekent Gmail-foutmelding 550 5.7.26?
Sinds Google’s afzendervereisten van 2024 moet elke afzender naar Gmail — niet alleen bulkverzenders — minstens één van SPF of DKIM laten slagen voor het verzenddomein. Faalt u voor beide, dan weigert Gmail het bericht al bij SMTP-tijd met 550 5.7.26 in plaats van het naar spam te laten gaan.
De huidige volledige tekst luidt: “This email has been blocked because the sender is unauthenticated. Gmail requires all senders to authenticate with either SPF or DKIM. Authentication results: DKIM = did not pass, SPF [domain] with ip: [ip] = did not pass.” Oudere bounces in het wild kunnen nog Google’s eerdere bewoording bevatten (“This mail is unauthenticated, which poses a security risk…”), en er is een verwante ratelimiet-code — 421 4.7.26 This email has been rate limited because it is unauthenticated — met dezelfde oorzaak.
550 5.7.26 is geen enkel bericht maar onderdeel van een familie van codes, en de bewoording vertelt u welk onderdeel faalde: Google’s huidige naslagwerk houdt drie 5.7.26-teksten aan (niet-geauthenticeerd, SPF hard fail, DMARC-beleid) en verplaatst de bulkverzender-varianten alleen-SPF en alleen-DKIM naar hun eigen codes, 5.7.27 en 5.7.30. Lees de exacte tekst voordat u aan DNS komt — het is uw eerste diagnostisch signaal.
De omvang van de kloof verklaart waarom deze bounce zo vaak voorkomt: 12.145.313 domeinen autoriseren Google’s mailservers in hun SPF-record (van 138.927.207 domeinen wereldwijd die SPF publiceren), maar slechts 18,5% heeft een handhavend DMARC-beleid en maar 8,0% gebruikt strikte SPF (-all). De meeste bij Google gehoste afzenders voldoen niet aan Google’s eigen bulkverzenderregels — en Gmail handhaaft nu de basis bij iedereen.
Welke variant van 550 5.7.26 — of verwante code — hebt u?
Vergelijk de bouncetekst die u ontving met deze tabel. Geciteerde fragmenten volgen Google’s huidige SMTP-foutmeldingenreferentie — controleer ze altijd tegen uw daadwerkelijke NDR, aangezien Google de bewoording periodiek herziet.
| Code | Bouncetekst zegt (fragment) | Wat faalde | Waar de oplossing staat |
|---|---|---|---|
| 550 5.7.26 (niet-geauthenticeerd) | “This email has been blocked because the sender is unauthenticated … authenticate with either SPF or DKIM” | Noch SPF noch DKIM slaagde | Deze gids, stappen 2–4 |
| 550 5.7.26 (SPF hard fail) | “has an SPF record with a hard fail policy (-all) but it fails to pass SPF checks” | Uw strikte SPF-record autoriseert het verzend-IP niet | Stap 3 hieronder + repareer SPF |
| 550 5.7.26 (DMARC-beleid) | “Unauthenticated email from [domain] is not accepted due to domain’s DMARC policy” | Uw eigen DMARC-beleid weigerde niet-gealigneerde mail | Stap 4 hieronder |
| 550 5.7.27 (bulk, SPF) | “didn’t pass SPF authentication … Gmail requires bulk email senders to authenticate their email with SPF” | SPF faalde, en u zit in de bulkverzendercategorie | Stap 3 hieronder + repareer SPF |
| 550 5.7.30 (bulk, DKIM) | “didn’t pass DKIM authentication … Gmail requires bulk email senders to authenticate their email with DKIM” | Geen geldige DKIM-handtekening, en u zit in de bulkverzendercategorie | Stap 3 hieronder + repareer DKIM |
| 550 5.7.29 (bulk, TLS) | “wasn’t sent over a TLS connection” | Bulkmail verstuurd zonder TLS | Stap 6 hieronder |
| 550 5.7.25 | ”doesn’t have a PTR record” | Geen reverse DNS (PTR) op het verzend-IP | Stap 2 hieronder |
| 421-4.7.0 | ”try again later” / ongebruikelijk verkeer | Tijdelijk uitstel — reputatie of snelheid, niet permanent | Opnieuw proberen; controleer stappen 2–3 en stap 8 |
| 550 5.7.28 | ”unusual rate of unsolicited email” | Limiet voor verzendsnelheid/spampercentage | Stap 8 hieronder |
| 550-5.7.1 | ”message blocked” / policytekst | Policy-, spam- of IPv6-zonder-PTR-afwijzing | Zie de gids Gmail 550-5.7.1 |
Hoe lost u 550 5.7.26 op, in volgorde van vereiste?
Google publiceert geen letterlijke “controlevolgorde” — maar de vereisten bouwen logisch op elkaar voort, dus werk ze in deze volgorde van vereiste af. De meeste afzenders zijn na stap 3 niet meer geblokkeerd; doorloop de lijst toch, want de latere stappen houden u uit spam zodra u van de bounce af bent.
- Voer eerst de gratis scan uit. Die leest uw live SPF-, DKIM-, DMARC- en DNS-instellingen en laat precies zien welk onderdeel faalt — diagnosticeer voordat u aan DNS komt.
- Geef uw verzend-IP reverse DNS (PTR). Het verbindende IP moet een PTR-record hebben waarvan de hostnaam terugverwijst naar hetzelfde IP. Grote providers regelen dit voor u; het bijt mensen die vanaf hun eigen servers versturen (en is het hele verhaal achter de verwante code 550 5.7.25).
- Laat SPF of DKIM slagen. Eerst een waarschuwing: ontvangers evalueren SPF tegen het Return-Path-domein (RFC5321.MailFrom), niet de From-header — controleer naar welk domein uw mail daadwerkelijk bounce’t voordat u besluit dat SPF “zou moeten” slagen. Voeg uw echte verzenddiensten toe aan het SPF-record van dat domein (volledige SPF-handleiding), of schakel DKIM-ondertekening in bij uw provider (volledige DKIM-handleiding). Slaagt één van beide, dan verdwijnt de basisblokkade 550 5.7.26.
- Laat DKIM aligneren met uw From-domein. Voor bulkverzending — en voor DMARC — wil Gmail authenticatie voor het domein in uw From-adres, niet een leveranciersstandaard. Google Workspace-gebruikers: publiceer uw eigen DKIM-sleutel (Workspace DKIM-installatie); een standaard
gappssmtp.com-handtekening slaagt voor DKIM maar aligneert niet — een valkuil met zijn eigen gids. Gealigneerde DKIM overleeft ook doorsturen, wat SPF nooit doet. - Publiceer een DMARC-record. Google’s afzendervereisten vragen minstens
p=nonemet een rapportageadres. Het is een DNS-wijziging van vijf minuten — zie “DMARC-beleid niet ingeschakeld” voor de eerlijke eerste stap en watp=nonewel en niet beschermt. - Verstuur via TLS. Elke moderne mailserver of -provider doet dit standaard; draait u uw eigen MTA, bevestig dan dat uitgaande TLS aanstaat — bulkmail zonder TLS bounce’t nu met een eigen code, 550 5.7.29.
- Voeg uitschrijven met één klik toe volgens RFC 8058 (headers
List-Unsubscribe+List-Unsubscribe-Post) voor marketing- en geabonneerde mail. - Houd uw spampercentage onder 0,10% in Google Postmaster Tools — en laat het nooit 0,30% bereiken. Google’s vereiste plafond is 0,3%; de aanbeveling is onder 0,10% te blijven. Registreer uw domein daar; het is Google’s eigen rapportcijfer over u, en de spampercentagedrempel is de vereiste die geen enkel DNS-record kan verhelpen.
Wat deze lijst niet doet: u van een externe blocklist afhalen. Authenticatie stopt Gmail’s niet-geauthenticeerde afwijzingen; een IP met een spamverleden is een reputatieprobleem met een eigen opschoontraject — authenticatie herstellen voorkomt terugval, het schrapt u niet.
Gelden de bulkverzenderregels als u minder dan 5.000 e-mails per dag verstuurt?
De volledige checklist — gealigneerde authenticatie, gepubliceerde DMARC, uitschrijven met één klik, spampercentage — geldt formeel vanaf 5.000+ berichten per dag naar Gmail, en de alleen-bulk-codes (5.7.27, 5.7.29, 5.7.30) komen uit die categorie. Maar de authenticatiebasis (SPF of DKIM slaagt, geldige PTR) wordt bij iedereen gehandhaafd, waarom kleine afzenders ook 550 5.7.26 tegenkomen. Behandel stappen 1–5 als verplicht bij elk volume, stappen 7–8 als verplicht zodra u in bulk verstuurt. De volledige vereistenset voor beide providers staat in ons dataartikel over de afzendervereisten van Google en Yahoo.
Veelgestelde vragen
Betekent 550 5.7.26 dat mijn domein of IP op een blocklist staat? Nee. Het is een authenticatiefout, geen reputatieoordeel — Gmail zegt “bewijs wie u bent”, niet “we weten dat u een spammer bent”. Dat is goed nieuws: het is volledig oplosbaar in DNS. Het slechte nieuws is hoe normaal het is: over de census van 261.086.232 domeinen (per 2026-06-29) heeft slechts 10,59% een handhavend DMARC-beleid.
Stopt het alleen repareren van SPF de bounces? Meestal wel, voor de basisvariant — Gmail vereist minstens één van SPF of DKIM. Maar SPF wordt geëvalueerd tegen het Return-Path-domein en breekt bij doorsturen, dus gealigneerde DKIM (stap 4) is de duurzame oplossing. Slechts 8,0% van de 12.145.313 bij Google gehoste afzenderdomeinen gebruikt strikte SPF (gegevens per 2026-06-29), dus hoe dan ook loopt u voor op de groep.
Ik gebruik Google Workspace — waarom bounce’t Google mijn eigen mail? Omdat Gmail het domein authenticeert, niet de postvakprovider. Een Workspace-domein zonder SPF-record en zonder eigen DKIM-sleutel verstuurt mail die Google zelf niet kan verifiëren — van 12.145.313 domeinen die Google’s servers autoriseren, handhaaft slechts 18,5% DMARC (gegevens per 2026-06-29). Een Google-klant zijn en aan Google’s regels voldoen zijn verschillende dingen.
Hoe lang na de DNS-fix accepteert Gmail mijn mail? Zodra de nieuwe records zichtbaar zijn — meestal minuten tot een paar uur, tot 48 uur bij trage TTL’s. Authenticatiefixes werken direct op de controle voor 550 5.7.26; herstel van spampercentage en reputatie (421-4.7.0, 5.7.28) duurt dagen tot weken van schoon verzenden.
Stuur de eigenaar het rapport
Repareert u dit voor een klant, sluit het ticket dan niet af met “bounces opgelost”. Voer de gratis scan opnieuw uit na uw DNS-wijzigingen en stuur het beoordeelde rapport door naar de bedrijfseigenaar. Het laat in gewone taal zien dat hun domein nu de e-mail authenticeert en waar het nog tekortschiet — het bewijs dat ze nodig hebben voor cyberverzekeringsverlengingen en beveiligingsvragenlijsten van leveranciers. U hebt de bounce opgelost; het rapport bewijst het.
Controleer uw domein gratis
Zie op welk onderdeel van SPF, DKIM en DMARC Gmail u laat falen — privé en alleen voor de eigenaar.
Controleer uw domein → · Repareer SPF → · Gmail “550-5.7.1 message blocked” → · Hoe wij beoordelen → · Uitsluitend geaggregeerde gegevens. Gegevens opgeslagen en verwerkt in de EU.