App-wachtwoord aanmaken voor Gmail, Microsoft 365 en je hosting
Een app-wachtwoord is een automatisch gegenereerde code waarmee een extern programma toegang krijgt tot je mailbox zonder je gewone inlogwachtwoord te kennen. Voor Gmail en Microsoft 365 is zo'n wachtwoord verplicht zodra tweestapsverificatie aanstaat; de meeste Nederlandse hostingproviders werken nog met het gewone mailbox-wachtwoord. Dit artikel legt per provider precies uit welke stappen je doorloopt, inclusief veelgemaakte fouten en hoe je die oplost.
# Wat is een app-wachtwoord en wanneer heb je het nodig?
Een app-wachtwoord is een vervangend wachtwoord dat je aanmaakt voor toepassingen die geen interactieve inlogschermen ondersteunen, zoals IMAP-clients en migratieprogramma's. Je hebt het nodig zodra je account beveiligd is met meervoudige authenticatie (MFA of 2FA) en je een externe tool toegang wilt geven tot je mailbox.
Zonder app-wachtwoord blokkeert Google of Microsoft elke inlogpoging via IMAP: ze zien het als een verdachte aanmeldpoging zonder de tweede verificatiestap. Het app-wachtwoord omzeilt dat probleem op een gecontroleerde manier, omdat je het zelf aanmaakt en achteraf ook zelf intrekt.
Voor de meeste Nederlandse hostingproviders zoals Strato, TransIP, Mijndomein, Hostnet en Vimexx gebruik je het gewone IMAP-wachtwoord dat je hebt ingesteld bij het aanmaken van de mailbox. Die hosters ondersteunen geen meervoudige authenticatie op mailbox-niveau, waardoor een aparte app-wachtwoord-stap niet nodig is. Twijfel je, test dan eerst met je reguliere wachtwoord voordat je gaat zoeken naar een speciale instelling.
- Gmail (privé en Google Workspace): verplicht bij actieve 2-stapsverificatie
- Microsoft 365: verplicht als MFA aanstaat en legacy-authenticatie is toegestaan
- Outlook.com (privé Microsoft-account): zelfde procedure als Microsoft 365
- Nederlandse hostingproviders: gewoon mailbox-wachtwoord, geen extra stap
# App-wachtwoord aanmaken in Gmail: stap voor stap
Een Gmail app-wachtwoord aanmaken duurt minder dan twee minuten, maar je moet eerst 2-stapsverificatie hebben ingeschakeld; het menu verdwijnt volledig als 2FA uitstaat.
Ga naar myaccount.google.com/security en controleer onder 'Hoe je je aanmeldt bij Google' of '2-stapsverificatie' actief is. Staat het uit, klik dan op de optie en doorloop de wizard. Je kunt kiezen voor verificatie via sms, de Google Authenticator-app of een fysieke beveiligingssleutel. Na activering keer je terug op de beveiligingspagina.
Klik vervolgens op '2-stapsverificatie' om de detailpagina te openen. Scroll helemaal naar beneden totdat je de sectie App-wachtwoorden ziet. Google vraagt om bevestiging van je identiteit. Kies daarna bij 'App selecteren' de optie E-mail en bij 'Apparaat selecteren' de optie Windows-computer. De apparaatnaam is alleen een label voor je eigen overzicht en heeft geen invloed op de werking van het wachtwoord.
Klik op Genereren. Google toont een 16-tekens wachtwoord in een geel kader, weergegeven in vier groepen van vier tekens met spaties. Kopieer het volledig maar laat de spaties weg als je het invult in een extern programma. Het wachtwoord verschijnt uitsluitend op dit moment; sluit je het venster zonder te kopiëren, verwijder het dan in het overzicht en genereer een nieuw exemplaar.
- Ga naar myaccount.google.com/security
- Controleer of 2-stapsverificatie aanstaat; zo niet, schakel het in
- Klik op 2-stapsverificatie en scroll naar App-wachtwoorden
- Kies App: E-mail, Apparaat: Windows-computer
- Klik op Genereren en kopieer het 16-tekens wachtwoord direct
# App-wachtwoord aanmaken in Microsoft 365 en Outlook.com
App-wachtwoorden voor Microsoft 365 werken alleen als de beheerder legacy-authenticatie nog niet volledig heeft geblokkeerd. Heeft je organisatie modern auth afgedwongen via een Conditional Access-beleid, dan is IMAP basisauthenticatie uitgeschakeld en werkt zelfs een geldig app-wachtwoord niet. Neem in dat geval contact op met je IT-beheerder of raadpleeg de Microsoft-documentatie over app-wachtwoorden voor de juiste tenantinstellingen.
Voor persoonlijke Outlook.com-accounts en voor Microsoft 365-accounts waarbij de beheerder app-wachtwoorden heeft toegestaan, ga je naar mysignins.microsoft.com. Klik op het tabblad Beveiligingsgegevens. Is MFA nog niet geconfigureerd, doorloop dan eerst de wizard. Klik daarna op + Methode toevoegen, kies App-wachtwoord uit de lijst en geef het wachtwoord een herkenbare naam, bijvoorbeeld 'Mailmigratie juni 2026'. Klik op Volgende.
Microsoft genereert vervolgens een wachtwoord dat je direct kunt kopiëren. Net als bij Gmail verschijnt het slechts eenmalig. Plak het direct in het betreffende veld van je migratieprogramma. Wil je het wachtwoord na de migratie intrekken, ga dan terug naar Beveiligingsgegevens, zoek het app-wachtwoord op en klik op Verwijderen.
- Ga naar mysignins.microsoft.com
- Klik op het tabblad Beveiligingsgegevens
- Klik op + Methode toevoegen en selecteer App-wachtwoord
- Geef het wachtwoord een naam en klik op Volgende
- Kopieer het gegenereerde wachtwoord direct
- Verwijder het wachtwoord na de migratie via hetzelfde dashboard
# Overzicht: authenticatiemethode per provider
De meeste Nederlandse hostingproviders ondersteunen IMAP met standaard gebruikersnaam- en wachtwoordcombinaties zonder aparte app-wachtwoord-stap. De gebruikersnaam is vrijwel altijd het volledige e-mailadres. Het bijbehorende wachtwoord stel je in of wijzig je via het controlepaneel van je hoster. Hieronder staan de exacte IMAP-gegevens en de locatie van het wachtwoord voor de meestgebruikte providers.| Provider | Authenticatie | IMAP-server | Poort | Wachtwoord wijzigen via |
|---|---|---|---|---|
| Gmail (privé) | App-wachtwoord bij 2FA | imap.gmail.com | 993 | myaccount.google.com > Beveiliging > App-wachtwoorden |
| Google Workspace | App-wachtwoord bij 2FA | imap.gmail.com | 993 | Zelfde als Gmail privé, beheerder moet het toestaan |
| Microsoft 365 | App-wachtwoord bij MFA | outlook.office365.com | 993 | mysignins.microsoft.com > Beveiligingsgegevens |
| Outlook.com | App-wachtwoord bij MFA | outlook.office365.com | 993 | account.microsoft.com > Beveiliging |
| Strato | Mailbox-wachtwoord | imap.strato.de | 993 | My STRATO > E-mail > Mailboxen > Bewerken |
| Mijndomein | Mailbox-wachtwoord | mail.mijndomein.nl | 993 | Mijn Mijndomein > E-mail > Bewerken |
| TransIP | Mailbox-wachtwoord | mail.[jouwdomein].nl | 993 | STACK > E-mail > Mailboxen |
| Hostnet | Mailbox-wachtwoord | imap.hostnet.nl | 993 | DirectAdmin of Hostnet-paneel > E-mail |
| Vimexx | Mailbox-wachtwoord | mail.[jouwdomein].nl | 993 | cPanel > Email Accounts |
| Antagonist | Mailbox-wachtwoord | imap.[jouwdomein].nl | 993 | DirectAdmin > E-mail > Email Accounts |
| Byte / Argeweb | Mailbox-wachtwoord | imap.[jouwdomein].nl | 993 | DirectAdmin-paneel > E-mail |
| YourHosting | Mailbox-wachtwoord | mail.[jouwdomein].nl | 993 | Mijn YourHosting > E-mail > Beheer |
# Veilig omgaan met app-wachtwoorden tijdens een migratie
Een app-wachtwoord geeft volledige IMAP-toegang tot je mailbox, inclusief alle mappen, het archief en verzonden items. Behandel het daarom even zorgvuldig als je hoofdwachtwoord en sla het niet op in een tekstbestand of notitie-app.
Gebruik het wachtwoord alleen in de tool waarvoor je het aanmaakt. Mailmigreren.nl slaat app-wachtwoorden uitsluitend op in het werkgeheugen van de server gedurende de looptijd van de migratie. Na afloop worden ze niet bewaard en zijn ze niet opvraagbaar. De verbinding verloopt versleuteld via IMAP over TLS op poort 993, conform RFC 3501.
Verwijder het app-wachtwoord direct na afloop van de migratie. Een ingetrokken wachtwoord werkt onmiddellijk niet meer, ook als iemand het heeft onderschept of opgeslagen. Dit is precies het voordeel van app-wachtwoorden ten opzichte van je hoofdwachtwoord: je kunt de toegang selectief en direct intrekken zonder je hoofdwachtwoord te hoeven wijzigen.
- Maak het app-wachtwoord aan vlak voor de migratie, niet weken van tevoren
- Gebruik het wachtwoord alleen in het migratieprogramma
- Bewaar het niet in een notitie-app, e-mail of tekstbestand
- Verwijder het app-wachtwoord direct na afronding van de migratie
- Controleer via het beveiligingsdashboard of het wachtwoord weg is
# App-wachtwoord werkt niet: de vijf meest voorkomende oorzaken
De meest voorkomende reden dat een app-wachtwoord niet werkt bij Gmail is dat 2-stapsverificatie nog niet is ingeschakeld. Het app-wachtwoord-menu is letterlijk onzichtbaar zolang 2FA uitstaat. Schakel 2FA in, log daarna opnieuw in op myaccount.google.com en je ziet het menu alsnog verschijnen.
Bij Microsoft 365 is de tweede veelvoorkomende oorzaak dat de IT-beheerder legacy-authenticatie heeft geblokkeerd via een Conditional Access-beleid. In dat geval is IMAP basisauthenticatie volledig uitgeschakeld en helpt geen enkel app-wachtwoord. De beheerder moet legacy auth tijdelijk toestaan of een specifieke uitzondering maken voor het betreffende account.
Bij hostingproviders zijn verkeerde inloggegevens de hoofdoorzaak van mislukte verbindingen. De gebruikersnaam is altijd het volledige e-mailadres inclusief domeinnaam, nooit alleen het gedeelte voor het apenstaartje. Controleer ook de IMAP-server en poort in de tabel hierboven: een mismatch op poort 143 (onversleuteld) versus poort 993 (TLS) levert ook een verbindingsfout op, ook al kloppen de inloggegevens verder.
- Gmail: 2FA staat uit, app-wachtwoord-menu is onzichtbaar
- M365: legacy-authenticatie geblokkeerd door Conditional Access-beleid
- M365: app-wachtwoorden uitgeschakeld op organisatieniveau door beheerder
- Hoster: gebruikersnaam is niet het volledige e-mailadres
- Hoster: verkeerde IMAP-server of poort ingevuld
- Wachtwoord al verwijderd of verlopen doordat hoofdwachtwoord is gewijzigd
# Hoe werkt de IMAP-migratie zodra het app-wachtwoord klaarstaat?
Zodra je het app-wachtwoord hebt, start je de migratie via de wizard op mailmigreren.nl. Je vult de IMAP-gegevens in van zowel de bronmailbox als de doelmailbox: server, poort, gebruikersnaam en wachtwoord. Voor Gmail en M365 gebruik je het app-wachtwoord; voor hostingproviders het gewone mailbox-wachtwoord. Daarna streamt de tool alle e-mails via IMAP APPEND van bron naar doel.
De bronmailbox blijft volledig onaangeroerd. Mailmigreren.nl werkt in 100% kopieer-modus: er worden geen berichten verwijderd of verplaatst aan de bronkant. Je kunt de migratie dus uitvoeren terwijl je gewoon e-mail blijft ontvangen en versturen. Een mailbox van 5 GB duurt doorgaans 30-90 minuten; bij 10 GB of meer loopt de tijd op tot enkele uren, afhankelijk van het aantal berichten en de IMAP-snelheid van de provider.
Na afronding ontvang je een bevestigingsmail. Slaagt de migratie niet door een fout aan de serverzijde, dan volgt automatisch een terugbetaling via iDEAL. Je hoeft daarvoor geen verzoek in te dienen.
Stappenplan
- Controleer of 2FA of MFA aanstaat: Ga voor Gmail naar myaccount.google.com/security, voor Microsoft naar mysignins.microsoft.com. Voor hostingproviders sla je deze stap over: die gebruiken gewoon wachtwoord. Zonder actieve 2FA bestaat het app-wachtwoord-menu niet.
- Open het app-wachtwoord-menu: Gmail: klik op 2-stapsverificatie en scroll naar beneden naar App-wachtwoorden. Microsoft: klik op Beveiligingsgegevens en daarna op + Methode toevoegen. Kies App-wachtwoord uit de lijst.
- Genereer het app-wachtwoord: Gmail: kies App E-mail en een apparaatnaam naar keuze, klik op Genereren. Microsoft: geef het wachtwoord een herkenbare naam zoals 'Mailmigratie' en klik op Volgende. Het wachtwoord verschijnt direct.
- Kopieer het wachtwoord direct: Het wachtwoord verschijnt uitsluitend op dit moment. Kopieer het volledig en laat eventuele spaties weg. Plak het direct in het veld 'Wachtwoord bronmailbox' of 'Wachtwoord doelmailbox' van de migratieprogramma voordat je het venster sluit.
- Vul de IMAP-gegevens in en start de migratie: Gebruik server imap.gmail.com (Gmail) of outlook.office365.com (M365) of de server van je hoster, poort 993, het volledige e-mailadres als gebruikersnaam, en het app-wachtwoord of mailbox-wachtwoord. Start de migratie via de wizard op mailmigreren.nl.
- Verwijder het app-wachtwoord na afloop: Ga terug naar het beveiligingsdashboard. Gmail: myaccount.google.com/security > App-wachtwoorden. Microsoft: mysignins.microsoft.com > Beveiligingsgegevens. Klik op Verwijderen naast het wachtwoord dat je aanmaakte. Het is direct ongeldig.
Veelgestelde vragen
Heb ik voor elke mailbox een apart app-wachtwoord nodig?
Ja. Een app-wachtwoord is gekoppeld aan precies één Google- of Microsoft-account. Migreer je meerdere Gmail-adressen, bijvoorbeeld vijf medewerkers in Google Workspace, dan maak je per account een apart app-wachtwoord aan. Dat doe je door per account in te loggen en de stappen te herhalen. Voor hostingproviders geldt hetzelfde: elk e-mailadres heeft zijn eigen mailbox-wachtwoord.
Wat doe ik als het App-wachtwoorden-menu bij Gmail niet zichtbaar is?
Het menu verschijnt alleen als 2-stapsverificatie actief is. Ga naar myaccount.google.com/security en controleer de status onder 'Hoe je je aanmeldt bij Google'. Schakel 2FA in via de wizard en ga daarna opnieuw naar de 2-stapsverificatie-detailpagina. Bij Google Workspace-accounts kan de beheerder het gebruik van app-wachtwoorden centraal hebben uitgeschakeld via de Beheerconsole; neem dan contact op met je IT-beheerder.
Werkt een app-wachtwoord ook voor de doelmailbox bij de migratie?
Ja. Als de doelmailbox ook Gmail of Microsoft 365 is met actieve MFA, vul je daar eveneens een app-wachtwoord in. Gebruik je een gewone hostingprovider als doelmailbox, dan gebruik je het reguliere IMAP-wachtwoord van die mailbox. Mailmigreren.nl gebruikt voor zowel bron als doel standaard IMAP-authenticatie op poort 993.
Hoe lang blijft een app-wachtwoord geldig?
Een app-wachtwoord verloopt niet automatisch. Het blijft actief totdat je het handmatig verwijdert via het beveiligingsdashboard. Er is één uitzondering bij Google: wijzig je je hoofdwachtwoord, dan vervallen alle bestaande app-wachtwoorden direct. Bij Microsoft vervallen ze pas als je ze expliciet intrekt of als de beheerder de MFA-instellingen op tenantsniveau wijzigt.
Wat is het verschil tussen een app-wachtwoord en OAuth?
OAuth is een moderne autorisatiestandaard waarbij je via een browservenster toestemming verleent, zonder je wachtwoord te delen met de externe applicatie. App-wachtwoorden zijn een noodoplossing voor protocollen zoals IMAP die geen interactieve browserstromen ondersteunen. Google en Microsoft bewegen richting OAuth-only authenticatie; app-wachtwoorden werken zolang legacy-authenticatie beschikbaar blijft. Mailmigreren.nl v2 zal OAuth ondersteunen voor Gmail en Microsoft 365, zodat je geen app-wachtwoord meer nodig hebt.
Kan ik een app-wachtwoord opnieuw bekijken nadat ik het venster heb gesloten?
Nee. Zowel Google als Microsoft tonen het gegenereerde wachtwoord uitsluitend op het moment van aanmaken. Heb je het niet gekopieerd, verwijder het dan via het overzicht en genereer een nieuw exemplaar. De stap duurt minder dan een minuut en het nieuwe wachtwoord werkt direct.
Klaar om je mailbox te verhuizen?
Begin met een gratis preview. Je betaalt pas als je zeker bent.
Start migratie