Laatst bijgewerkt: 16 april 2026
Clearswift SECURE Gateway is een content-inspection platform van Fortra dat e-mail en web-verkeer realtime analyseert op inhoud, bijlagen en classificatielabels voor gereguleerde organisaties onder NIS2, BIO, DORA en ISO 27001. Het product voert Clearswift content inspection uit via de MIMEsweeper engine, past adaptive redaction toe in plaats van hard blokkeren, en leest labels die Titus en Boldon James eerder in de keten hebben geplaatst. Primair voor CISO's bij organisaties met 1.000 tot 10.000 FTE waar uitgaande e-mail niet zomaar geweigerd mag worden.
Wat: inline MTA en ICAP-appliance die elk bericht, elke bijlage en elke web-upload inspecteert met de MIMEsweeper engine en content aanpast op basis van beleid.
Voor wie: gereguleerde organisaties met 1.000 tot 10.000 FTE onder NIS2 artikel 21, BIO-rubricering, DORA artikel 6 en ISO 27001 Annex A 8.12.
Waar: inline in de mail flow tussen Exchange Online en het internet, en via ICAP achter een secure web gateway zoals Zscaler of Netskope.
Wanneer: bij een audit die uitgaande datastromen moet kunnen verantwoorden, na een incident waar een bijlage ongecontroleerd naar buiten ging, of bij een DORA-implementatie die uitgaande mail moet inspecteren.
Kostenindicatie: per gateway per jaar, afhankelijk van modules en support tier. Concrete cijfers worden afgegeven door Korper ICT.
Doorlooptijd: 30-dagen POC in monitormodus, daarna 2 tot 4 maanden fasering naar handhaving.
Clearswift SECURE Gateway is een familie van content-inspection appliances voor e-mail en web. De Email Gateway werkt als SMTP-hop in de uitgaande of inkomende mail flow. De Web Gateway koppelt via ICAP achter een secure web gateway en inspecteert HTTP- en HTTPS-uploads en downloads. Beide varianten gebruiken dezelfde onderliggende engine, dezelfde beleidstaal en dezelfde metadata-lezers.
De kern is de MIMEsweeper engine. Die pakt elk bericht volledig uit, inclusief geneste archieven tot de geconfigureerde diepte, leest OOXML-metadata, past OCR toe op afbeeldingen en doet pattern-matching op de geëxtraheerde tekst. Daaroverheen komt de policy-laag die beslist: doorlaten, blokkeren, in quarantaine zetten, of, cruciaal, aanpassen en doorsturen. Die laatste optie heet adaptive redaction en is wat Clearswift onderscheidt van eenvoudiger gateways.
De productlijn komt oorspronkelijk uit Theale, Verenigd Koninkrijk, ontwikkeld in de jaren 1990 onder de naam MIMEsweeper. In 2019 overgenomen door HelpSystems, sinds 2022 onderdeel van Fortra. De engine heeft decennia aan gereguleerde omgevingen achter zich, van defensie tot financiële instellingen, wat te zien is aan de hoeveelheid formaten die het uitpakt en de precisie van de policy-taal.
Clearswift is geen DLP in de klassieke zin. Het werkt samen met een DLP door dezelfde signalen te lezen en aan de gateway-kant af te dwingen wat de DLP op het endpoint detecteert. Het is ook geen anti-spam of anti-malware platform op zich. Reputatiefiltering en sandboxing worden doorgaans afgedekt door Exchange Online Protection, Proofpoint of Mimecast. Clearswift vult de content-inspection laag in die bovenop basisfiltering komt.
Primaire doelgroep: CISO's, security operations leads en mail-architecten bij Nederlandse organisaties met 1.000 tot 10.000 FTE die onder gereguleerde sectoren vallen. Denk aan financiële instellingen onder DORA, zorginstellingen met bijzondere persoonsgegevens, centrale overheid en uitvoeringsorganisaties onder de BIO, en industriele organisaties met intellectueel eigendom dat via e-mail en web beweegt. Gemene deler: uitgaande communicatie mag niet zomaar worden geblokkeerd, want dat breekt klantprocessen, juridische dossiers of patiëntenzorg.
Secundaire doelgroep: compliance officers en FG's bij semi-publieke organisaties die BIO-rubricering, ENSIA en AVG-verantwoordingsplicht tegelijk moeten aantonen. Voor hen is Clearswift de gateway die zichtbaar maakt welke categorieën data dagelijks de grens van de organisatie passeren, met een auditlog die per bericht een beslissing vastlegt. Bij een incidentmelding aan het CSIRT of de Autoriteit Persoonsgegevens is die logging het verschil tussen een compleet meldingsdossier en een reconstructie achteraf.
Tertiaire doelgroep: engineers bij managed service providers en MSSPs die Clearswift draaien als gedeelde egress voor meerdere klantomgevingen. De multi-tenant configuratie met gescheiden policies per klant is een van de redenen dat Clearswift in de Benelux-MSSP-markt substantiële voetafdruk heeft.
Clearswift past minder goed bij drie typen organisaties. Bij kleine MKB's onder 100 FTE is de operationele complexiteit niet proportioneel aan de opbrengst; Exchange Online Protection met transport rules dekt die schaal voldoende af. Bij organisaties zonder bestaande classificatie is de label-aware beleidslaag verspild; eerst Titus of Boldon James, daarna Clearswift. Bij volledig cloud-native startups die geen on-premises egress-infrastructuur hebben is een pure SaaS-oplossing zoals Proofpoint of Mimecast praktischer, ook al levert die minder adaptive redaction.
Clearswift staat inline in twee verkeersstromen. Voor e-mail is het een SMTP-hop, meestal virtueel, op een Red Hat- of Rocky-Linux appliance onder VMware, Hyper-V, AWS of Azure. Voor web staat het achter een secure web gateway en communiceert via ICAP. Beide stromen delen dezelfde management-plane en dezelfde policy-bron. De fysieke appliance bestaat nog maar wordt in Nederland zelden ingezet; de virtuele deployment is standaard.
De e-mail deployment kent twee topologieën. Topologie een: M365 als primaire mail-platform, Clearswift als egress-hop via een Exchange Online connector. Uitgaande mail gaat van Exchange Online naar Clearswift, waar content-inspection plaatsvindt, en daarna via een smart host het internet op. Topologie twee: Clearswift op inbound en outbound, met M365 als mailbox-laag daarachter. De tweede topologie is rijker qua controle, vereist meer routering-configuratie en wordt meestal gekozen door organisaties met een hybride Exchange-setup.
De web deployment werkt via ICAP-koppeling aan Zscaler Internet Access of Netskope. De SWG stuurt verdachte uploads naar Clearswift voor adaptive redaction, ontvangt een aangepaste versie terug, en stuurt die door naar de oorspronkelijke bestemming. Dat kan een publieke cloudopslag zijn, een webmail-interface of een externe portal. De eindgebruiker merkt alleen een fractie extra latency, die doorgaans onder een seconde blijft voor bestanden tot 50 MB.
Integratiepunten die wij in Nederlandse omgevingen standaard configureren. Active Directory voor user-context en groepsgebaseerd beleid. Microsoft Purview of een ander labelsysteem voor het lezen van sensitivity labels. Titus en Boldon James voor classificatielabels in header en OOXML-metadata. Splunk of Microsoft Sentinel voor SIEM-ingest van elke policy-beslissing. GoAnywhere MFT voor outbound regulated transfer waar Clearswift de content-inspection uitvoert voordat het bestand via een beveiligde MFT-route vertrekt. Een optionele threat intelligence feed voor dynamische updates van patroonherkenning op basis van actuele dreigingen, aangevuld met advisories van het Nationaal Cyber Security Centrum.
De capaciteit schaalt horizontaal. Een enkele virtuele instance verwerkt doorgaans 500.000 tot 1.000.000 berichten per dag bij gemiddelde bijlage-grootte. Grotere volumes worden opgelost met een cluster achter een load balancer, waarbij het beleid vanuit een centrale management-console wordt uitgerold. Voor hoge beschikbaarheid draaien de meeste Nederlandse klanten twee instanties in een actief-actief-opstelling, geografisch gescheiden tussen twee datacenters.
Concrete trigger events. Na een incident waar een bijlage met persoonsgegevens of gereguleerde data de organisatie verliet zonder dat de bestaande filtering dat opmerkte. Bij een NIS2-audit waar artikel 21 risicobeheersmaatregelen op datastromen vereist en artikel 23 een meldingsplicht binnen 24 uur oplegt bij incidenten. Zonder content-inspection op de gateway valt niet te reconstrueren welke specifieke data in welke mail de organisatie heeft verlaten, en daarmee is de 24-uurs melding aan het CSIRT onvolledig.
Tijdens ISO 27001-(her)certificering, waar Annex A 8.12 (data leakage prevention) en A 8.23 (web filtering) expliciete controls zijn. Een auditor wil bewijs zien dat de organisatie uitgaande datastromen inspecteert op vertrouwelijkheid, niet alleen op malware of spam. Dat bewijs komt uit de Clearswift-auditlog, per bericht, per beleid, met hash van de oorspronkelijke en aangepaste versie. Voor AVG artikel 32 (passende technische maatregelen) levert dezelfde log het materiele bewijs van de verantwoordingsplicht onder artikel 5 lid 2.
Bij een DORA-implementatie voor financiële entiteiten. Artikel 6 vereist classificatie en bescherming van ICT-assets en datastromen; artikel 9 specificeert preventieve, detectieve en corrigerende maatregelen. Clearswift levert de preventieve laag op uitgaande datastromen waar DORA specifiek over spreekt, en registreert corrigerende redacties in een formaat dat door een toezichthouder gelezen kan worden. Van toepassing sinds 17 januari 2025 voor banken, verzekeraars, pensioenuitvoerders en hun kritieke ICT-leveranciers.
Organische triggers buiten regelgeving. De CISO ziet dat de aantallen ge-escaleerde M365 transport rules blijven groeien en dat elke nieuwe regel collateral damage veroorzaakt op legitieme mail. Gebruikers leren om bijlagen via persoonlijke webmail te sturen om de transport rules te omzeilen. Het DLP-team ziet dat endpoint-DLP wel detecteert maar geen gateway-niveau enforcement heeft als een bestand via mail naar buiten gaat. Een recent ENISA-rapport over mail-gebaseerde exfiltratie is intern als aanleiding gebruikt om de gateway-laag opnieuw te bekijken. In die situaties is Clearswift de technische invulling op een probleem dat beleidsmatig al herkend is.
Eerlijk antwoord vooraf: veel Nederlandse organisaties draaien Microsoft 365 transport rules in combinatie met Proofpoint, en dat is voor een deel van de use cases toereikend. Wij maken het verschil niet groter dan het is. Transport rules zitten in de licentie die u toch al betaalt, en Proofpoint is een volwassen gateway met sterke reputatie-filtering en een brede threat intelligence-basis.
Toch kiezen klanten die wij begeleiden in specifieke scenario's voor Clearswift, naast of in plaats van die alternatieven. Vier redenen keren terug.
Adaptive redaction versus alles-of-niets. Microsoft 365 transport rules en Proofpoint kunnen berichten blokkeren, in quarantaine zetten of doorlaten. Geen van beide kan een specifieke zin uit een Word-bijlage verwijderen terwijl de rest van het document intact blijft. Clearswift kan dat wel. In gereguleerde sectoren waar uitgaande mail ketenprocessen draagt, is dat verschil materieel. Geen mail blokkeren, wel content aanpassen, is vaak de enige werkbare optie.
Diepe archiefanalyse en OCR. Transport rules lezen onderwerpregels en beperkte inhoudspatronen. Proofpoint pakt archieven uit, maar de diepte is beperkter dan bij Clearswift en de OCR-kwaliteit op gemengde documenten is lager. Clearswift pakt tot zes lagen diepte standaard uit, doet OCR op afbeeldingen binnen PDF's en herkent metadata in geneste OOXML. Voor organisaties die technische tekeningen, gescande contracten of sleutel-documenten via mail versturen, is dat verschil de hoofdreden.
Classificatielabel-aware policies. Clearswift leest Titus en Boldon James-labels native en past beleid toe op basis van de label-waarde, niet op een afgeleide patroonherkenning. Transport rules kunnen sensitivity labels lezen sinds recente Exchange Online-versies, maar de gedetailleerdheid van de policy-taal blijft beperkt. Proofpoint leest labels via custom scanners, met meer configuratiewerk. Als u al in de Fortra-keten investeert, is label-continuiteit tussen Titus, Boldon James en Clearswift een productiviteitsvoordeel dat cross-vendor setups niet leveren.
Co-existentie in plaats van vervanging. Clearswift vervangt niet noodzakelijk M365 transport rules of Proofpoint. De typische Nederlandse setup houdt M365 voor basisfiltering, Proofpoint of Exchange Online Protection voor reputatie en malware, en Clearswift specifiek voor de content-inspection laag op gereguleerde egress. Drie lagen met gescheiden verantwoordelijkheid; elke laag doet waar hij goed in is. Dat is defensiever en operationeel robuuster dan een enkele laag proberen alles te laten doen.
Alternatieven buiten deze twee die ook genoemd worden: Symantec Messaging Gateway, Mimecast Content Control en Cisco Email Security. Geen van die drie levert de combinatie van adaptive redaction op zinsniveau, diepe archiefanalyse en label-aware policies op de manier waarop Clearswift dat doet. Dat is de reden dat Clearswift in Nederlandse gereguleerde omgevingen het meest voorkomt als content-inspection laag bovenop een standaard mail-security stack.
De architectuur in prose. Een Nederlandse klant in de financiële dienstverlening met 4.000 FTE draait Clearswift op vier virtuele instanties op VMware, twee per datacenter, in een actief-actief-cluster achter een load balancer. De MTA-configuratie hangt inline tussen Exchange Online en de publieke smart host, via een Exchange Online connector met TLS en IP-allowlist. Dagelijks verwerkt het cluster rond 2 miljoen uitgaande berichten, met piekmomenten rond maandafsluiting die naar 3,5 miljoen per dag groeien.
De MIMEsweeper engine pakt elk bericht en elke bijlage uit. Archiefdiepte staat op acht niveaus; standaard is zes. OCR draait op alle inbound afbeeldingen boven 50 KB en op OOXML-embedded afbeeldingen, met een tekst-extractie-drempel van 20 tekens voordat pattern-matching wordt toegepast. Adaptive redaction is geactiveerd voor drie categorieën: BSN-nummers in bijlagen naar externe domeinen worden geredigeerd, track changes en document comments worden gestript bij Word-verzending buiten de organisatie, en GPS-metadata wordt uit afbeeldingen verwijderd. De afzender ontvangt een notificatie met diff-samenvatting.
Label-aware policies zijn het hart van de configuratie. Clearswift leest de Titus X-header en de Boldon James OOXML custom property op elk bericht en elke bijlage. Voor berichten met label vertrouwelijk geldt een domein-allowlist van 180 geverifieerde partnerdomeinen; alles daarbuiten blokkeert. Voor geheim blokkeert altijd, zonder uitzondering. Voor intern passeert, maar wordt OCR-validatie uitgevoerd op bijlage-afbeeldingen om te controleren of daar geen hoger gerubriceerde inhoud in zit. Dat is Clearswift content inspection op zijn effectiefst: het label stuurt het beleid, het beleid stuurt de redactie.
ICAP-koppeling naar de secure web gateway loopt via twee Clearswift Web Gateway-instanties. De SWG, een Zscaler-tenant, stuurt uploads naar webmail-interfaces, publieke cloudopslag en externe portals door naar Clearswift voor deep inspection. Downloads van verdachte extensies worden eveneens geinspecteerd op embedded payloads. De latency-impact meten wij doorgaans op 200 tot 600 milliseconden per transactie onder normale belasting.
Voor outbound gereguleerde bestandsuitwisseling integreert Clearswift met GoAnywhere MFT. Een medewerker die via het MFT-portaal een bestand naar een externe partij stuurt, doorloopt eerst Clearswift voor content-inspection, waarna MFT het bestand via een beveiligde SFTP- of AS2-route aflevert. Het label bepaalt de route; de inhoud bepaalt of het bestand ongewijzigd, geredigeerd of geblokkeerd verder gaat. Implementatie en policy-afstemming in Nederlandse omgevingen worden begeleid door Neo Security als technische partner.
Failure modes die wij in de praktijk zien. Ten eerste: performance bij hoge mail-volumes. Een onderbemeten cluster loopt op tegen MTA-queue-opbouw tijdens piekmomenten, wat leidt tot merkbare vertragingen en klachten over te langzame mail. Remedie: cluster sizing op 150% van de piekvolume, horizontaal schalen met een vierde instance, en het afstemmen van OCR-thresholds op de werkelijke beeld-diversiteit van de organisatie.
Ten tweede: TLS-inspectie en certificate management. Clearswift inspecteert TLS-verkeer voor de Web Gateway door een MITM-constructie met een privaat CA-certificaat. Als dat certificaat niet op elke endpoint is gedistribueerd, krijgt de gebruiker certificaat-waarschuwingen, en cruciaal, veel SaaS-applicaties met certificate pinning weigeren de verbinding volledig. Remedie: certificate distribution via MDM voor elke endpoint, bypass-list voor applicaties met pinning zoals bankieren en overheidsdiensten, en periodieke validatie van de bypass-list tegen nieuwe SaaS-contracten.
Ten derde: mail-loops bij misconfiguratie. Een verkeerd geconfigureerde send-connector stuurt uitgaande mail terug naar Clearswift, die vervolgens opnieuw naar Exchange Online routeert, en zo ontstaat een lus die de MTA-queue in minuten kan laten vollopen. Remedie: strikte validatie van routering-headers, X-Loop-header inspection, maximum-hop-count op 25, en monitoring van queue-size met een alert-drempel die ruim onder de queue-capacity ligt.
Ten vierde: OCR false positives op schetsafbeeldingen. Handgeschreven notities of technische schetsen produceren OCR-output die op patronen als BSN of IBAN kan matchen zonder dat er daadwerkelijke persoonsgegevens in staan. Dat levert onterechte redacties of blokkades op. Remedie: OCR-confidence-drempel afstemmen, patroon-context vereisen (bijvoorbeeld een BSN moet in de buurt van het woord "BSN" of "burgerservicenummer" staan), en een quarantaine-review-workflow voor grensgevallen waar een security engineer binnen een werkdag uitsluitsel geeft.
De doorlooptijd van een typische uitrol. Week 1 tot 2: architectuurontwerp, virtuele instances deployment, basis-policy in monitormodus. Week 3 tot 6: label-aware policies configureren op basis van bestaande Titus en Boldon James-labels, OCR-drempels afstemmen op werkelijke mail-mix, eerste adaptive redaction-regels in schaduwmodus. Maand 2 tot 3: van monitor naar handhaving per beleid-categorie, ICAP-koppeling aan Zscaler of Netskope, SIEM-integratie voor de audit-log ingest. Maand 4: GoAnywhere MFT-koppeling voor outbound regulated transfer, finale sizing-review op basis van productiestatistieken.
Volgende in de keten na Clearswift is meestal Vera. Waar Clearswift de gateway-laag afdekt op het moment dat een bestand de organisatie verlaat, neemt Vera het over zodra het bestand buiten de infrastructuur is: persistent rights management, intrekbare toegang en cryptografische controle die aan het bestand gekoppeld blijft. Voor de onderliggende regulatoire argumentatie verwijzen wij naar de volledige regulatoire deep-dive. Voor een kennismakingsgesprek of POC-aanvraag is de contactpagina het startpunt.
Microsoft 365 transport rules werken op headers, afzenders, onderwerpen en beperkte inhoudspatronen, met een hard oordeel: blokkeren, doorlaten of in quarantaine. Clearswift analyseert de volledige inhoud van bericht en bijlagen, pakt geneste archieven uit, voert OCR uit op afbeeldingen en kan onderdelen aanpassen zonder de rest te weigeren. Een bijlage met een zin die niet naar buiten mag wordt geredigeerd, de mail gaat door. Dat nuanceverschil ontbreekt in transport rules.
Ja. Clearswift SECURE Email Gateway hangt als inline MTA in de mail flow, meestal als egress-hop na Exchange Online via een connector. Inkomend verkeer kan ook via Clearswift routeren voor deep inspection, waarna Exchange Online de aflevering doet. Typische inzet in Nederland: M365 voor mailbox en basisfiltering, Clearswift als content-inspection laag op de egress voor gereguleerde uitgaande post onder BIO, DORA of ISO 27001.
Ja, dat is de adaptive redaction-functie. Clearswift kan specifieke zinnen, nummers of metadata uit een bijlage verwijderen en de bewerkte versie doorsturen, terwijl de rest van het document intact blijft. Voorbeelden uit de Nederlandse praktijk: track changes en comments uit een Word-bestand strippen voor externe verzending, BSN-nummers redigeren, of GPS-metadata uit foto's verwijderen. De ontvanger ziet een schoon bestand, de afzender krijgt een notificatie over wat is aangepast.
Clearswift pakt ZIP, 7Z, RAR, TAR en vergelijkbare archieven uit tot een configureerbare diepte, standaard zes niveaus, uitbreidbaar naar meer. Bij elk niveau wordt de MIMEsweeper engine opnieuw toegepast op de inhoud. Encrypted archieven zonder meegeleverd wachtwoord worden als beleid standaard geblokkeerd of doorgestuurd naar een handmatige quarantaine. Deze diepte is essentieel voor organisaties die regelmatig Office-documenten in ZIP-in-ZIP-constructies ontvangen.
Ja. Clearswift leest de metadata- en header-labels die Titus en Boldon James plaatsen: OOXML custom properties, X-headers op SMTP en visuele labelbanners. Daarop definieert u policy. Vertrouwelijk mag alleen naar geverifieerde domeinen, geheim blokkeert altijd, intern passeert met OCR-validatie. Die label-aware policies maken Clearswift de handhavingslaag op wat Titus en Boldon James aan de creatie- en discovery-kant produceren, zonder dubbele regels te schrijven.
De Email Gateway inspecteert SMTP-verkeer, in- en uitgaand. De Web Gateway inspecteert HTTP en HTTPS-uploads en downloads, meestal via ICAP-koppeling aan een secure web gateway zoals Zscaler of Netskope. Beide gebruiken dezelfde MIMEsweeper engine en dezelfde policies. Bij outbound web-uploads naar cloudopslag of webmail past Clearswift Web Gateway dezelfde adaptive redaction toe die de Email Gateway op SMTP doet. Veel klanten licenseren beide modules voor volledige egress-dekking.
Via ICAP. De secure web gateway stuurt verdachte uploads of downloads door naar Clearswift voor diepe content-inspectie en ontvangt een aangepaste versie of een blokbeslissing terug. Het voordeel: u behoudt Zscaler of Netskope als primaire web-egress met TLS-inspection en category filtering, en legt alleen de zware content-analyse bij Clearswift neer. ICAP is standaard in vrijwel elke enterprise SWG en vereist geen wijziging aan de eindgebruiker.
Clearswift wordt per gateway gelicenseerd, niet per gebruiker. De factoren zijn het aantal instanties voor hoge beschikbaarheid, de modules (Email Gateway, Web Gateway, ICAP, adaptive redaction, OCR), de support tier en optionele add-ons zoals threat intelligence feeds. Concrete cijfers zijn volume- en omgevingsafhankelijk en worden afgegeven door Korper ICT op basis van een architectuurschets. Een typische Nederlandse enterprise draait twee tot vier Clearswift-instanties voor e-mail en een ICAP-paar voor web.
Regulatoire bronnen: AVG 2016/679 artikel 32, NIS2 2022/2555 artikel 21, ISO/IEC 27001:2022.