Einrichten des Google Workspace SPF-Eintrags für eine professionelle E-Mail-Zustellbarkeit

Auch wenn die Konfiguration eines SPF-Eintrags für Google Workspace so einfach aussieht wie die Veröffentlichung eines einzelnen DNS-TXT-Eintrags, gibt es wichtige technische Überlegungen, die beachtet werden müssen. Angefangen beim Verständnis der Rolle von SPF bei der E-Mail-Authentifizierung bis hin zur Vermeidung von häufigen Fehlkonfigurationen wie mehreren SPF-Einträgen oder dem Überschreiten von DNS-Lookup-Limits - die Details sind wichtig.

In diesem Leitfaden erhalten Sie eine klare, schrittweise Anleitung zur Einrichtung von SPF für Google Workspace, die sicherstellt, dass Ihre E-Mails die Authentifizierung bestehen, die Platzierung im Posteingang verbessert und zusätzliche Protokolle wie DKIM und DMARC unterstützt.

Was ist ein Google Workspace SPF-Eintrag?

Ein Google Workspace SPF-Eintrag ist ein DNS TXT-Eintrag, der den empfangenden Servern mitteilt, welche Mailserver E-Mails im Namen Ihrer Google Workspace-Domäne senden dürfen. Ohne einen SPF-Eintrag können Google Mail und Outlook die Authentizität Ihrer E-Mails nicht überprüfen, was die Wahrscheinlichkeit erhöht, dass Ihre Nachrichten als Spam markiert oder für Spoofing-Angriffe verwendet werden. 

Einfach ausgedrückt: Wenn Sie eine Domain wie yourcompany.com besitzen und E-Mails über Google Workspace versenden, beweist ein SPF-Eintrag den empfangenden Servern, dass die Mailserver von Google berechtigt sind, Nachrichten im Namen Ihrer Domain zu versenden.

SPF ist neben DKIM und DMARC eines der drei wichtigsten E-Mail-Authentifizierungsprotokolle, die zusammen die Authentifizierung von Nachrichten und die Platzierung im Posteingang verbessern.

Wie SPF funktioniert

SPF vergleicht die IP-Adresse des Servers, der Ihre Nachricht gesendet hat, mit der Liste der autorisierten Absender, die in den DNS-Einträgen Ihrer Domäne veröffentlicht ist.

Hier ist ein vereinfachter Ablauf:

1. Ein Nutzer sendet eine E-Mail über Google Workspace.
2. Der Empfänger-Mailserver (z. B. Gmail oder Outlook) fragt die DNS-Einträge Ihrer Domäne nach einem SPF-Eintrag ab.
3. Wenn die Absender-IP-Adresse oder der Absenderdienst aufgelistet ist, besteht die Nachricht die SPF-Prüfung und wird an den Posteingangsfilterungsprozess des Postfachs weitergeleitet.
4. Wenn sie nicht aufgeführt ist, schlägt die Nachricht bei der SPF-Validierung fehl und kann vom Mailserver des Empfängers als Spam markiert, in Quarantäne gestellt oder zurückgewiesen werden.
   
   

Beispiel Google Workspace SPF-Eintrag:

v=spf1 include:_spf.google.com ~all

Diese Aufzeichnung sagt:

• v=spf1 → Version des verwendeten SPF
• include:_spf.google.com → autorisiert die Mailserver von Google
• ~all → softfail für alles, was nicht aufgelistet ist (als verdächtig kennzeichnen, aber nicht vollständig blockieren)

Gemeinsame SPF-Datensatzkomponenten 

Bei der Konfiguration oder Fehlerbehebung von SPF-Einträgen werden Sie häufig auf diese gemeinsamen Mechanismen stoßen:

• include → verweist auf einen anderen SPF-Eintrag (z. B. include:_spf.google.com)
• ip4 / ip6 → erlaubt es einer bestimmten IPv4- oder IPv6-Adresse, E-Mails zu senden
• a → autorisiert die im A-Eintrag Ihrer Domain definierten Mailserver
• mx → autorisiert die Mail-Exchanger Ihrer Domäne
• all → passt zu allem (muss am Ende stehen)
• ~all → "softfail", nicht autorisierte Post wird angenommen, aber gekennzeichnet
• -all → "hardfail", nicht autorisierte Post wird zurückgewiesen 

Warum Google Workspace eine SPF-Konfiguration erfordert

Ohne einen SPF-Eintrag ist Ihre Google Workspace-Domäne ungeschützt. Böswillige Akteure können Ihre E-Mail-Adresse fälschen, Phishing-Angriffe in Ihrem Namen starten oder sich vor Kunden als Ihre Marke ausgeben. Wenn Mailbox-Anbieter wie Google Mail oder Outlook nicht überprüfen können, ob eine Nachricht von Ihrer Domäne stammt, können legitime Nachrichten in den Spam-Ordner weitergeleitet werden. Dies ist eines der häufigsten Probleme bei der E-Mail-Zustellung, wenn die grundlegende E-Mail-Authentifizierung nicht vorhanden ist.

Aus diesem Grund ist SPF mehr als eine technische Einstellung. Die Konfiguration sagt den Providern: "Ja, dies sind die Server, die für meine Domäne senden dürfen." Das Ergebnis ist eine bessere Reputation des Absenders, eine bessere Platzierung im Posteingang und eine Angleichung an die Authentifizierungsstandards, die von Mailbox-Anbietern erwartet werden.

Schritt-für-Schritt: Einrichten von Google Workspace SPF

Bevor Sie Ihre DNS-Einstellungen ändern, sollten Sie zunächst diese Voraussetzungen überprüfen. Viele Zustellbarkeitsprobleme sind auf fehlende Absender in SPF-Einträgen oder auf die Veröffentlichung mehrerer SPF-Einträge für dieselbe Domain zurückzuführen. Google Workspace vereinfacht den Prozess, aber Sie müssen diese Einrichtungsanforderungen erfüllen, bevor Sie DNS bearbeiten.

Was man im Voraus wissen sollte:

• Bei einigen Domains ist SPF bereits vorkonfiguriert, insbesondere wenn Sie sie über einen Google-Partner erworben haben. Überprüfen Sie bestehende Einträge mit einem SPF-Lookup/Validierungstool (z. B. einem SPF-Checker oder der Google Admin Toolbox), bevor Sie Änderungen vornehmen.
• SPF-Einträge werden bei Ihrem DNS-Anbieter (Domain-Registrar oder DNS-Host) konfiguriert, nicht in der Google Admin-Konsole. Fügen Sie den SPF-TXT-Eintrag über das Bedienfeld Ihres DNS-Anbieters (z. B. GoDaddy, Cloudflare, Namecheap) hinzu oder aktualisieren Sie ihn.
• Pro Domäne ist nur ein SPF-TXT-Datensatz zulässig; die Veröffentlichung mehrerer SPF-Datensätze führt dazu, dass die SPF-Auswertung fehlschlägt.

Schritt 1: Identifizieren Sie alle E-Mail-Absender

Ihr SPF-Eintrag muss jeden Server oder Dienst enthalten, der E-Mails im Namen Ihrer Domain sendet. Bei Domänen, die nur Google Workspace verwenden, kann dies der einzige Absender sein. In den meisten Unternehmen muss er jedoch auch zusätzliche Absender berücksichtigen, wie z. B.:

• Web-Server
• Vor-Ort-Mailserver (z. B. Microsoft Exchange)
• Von Ihrem Hosting-Anbieter verwendete Mailserver
• Ausgehende Gateways
• CRM- und Outreach-Plattformen (Salesforce, HubSpot, MailReach, Apollo, usw.)
• Marketing-Plattformen (z. B. Mailchimp, SendGrid)
• Transaktionsbezogene Tools (Shopify, Stripe, Zendesk)
• Website-Formulare, die automatische E-Mails versenden

Schritt 2: Bestimmen Sie Ihren SPF-Eintrag

Sobald Sie die vollständige Liste der Absender haben, erstellen Sie Ihren SPF-Eintrag. Ein SPF-Eintrag ist eine kurze Textzeichenfolge, die in den DNS-Einstellungen Ihrer Domäne veröffentlicht wird. Er teilt Mailbox-Anbietern mit, welche Server berechtigt sind, im Namen Ihrer Domäne zu senden.

Ihre Aufgabe ist es, alle Domänen und IP-Adressen aus Ihrem Absenderbestand in einem einzigen SPF-Datensatz zusammenzufassen und sicherzustellen, dass kein legitimer Absender ausgelassen wird. Pro Domäne ist nur ein SPF-TXT-Datensatz zulässig; die Veröffentlichung mehrerer SPF-Datensätze führt dazu, dass die SPF-Auswertung fehlschlägt.

Wenn Sie auch andere Plattformen wie Mailchimp, Salesforce oder Microsoft 365 nutzen, müssen Sie diese in einem einzigen String zusammenfassen, damit alle Ihre Dienste abgedeckt sind.

Zum Beispiel:

Denken Sie immer daran: Es sollte nur einen SPF-Eintrag geben.

Schritt 3: Fügen Sie Ihren SPF-Eintrag beim Domain-Host hinzu

• Melden Sie sich bei Ihrem DNS-Provider oder Domain-Registrar (z. B. Cloudflare, GoDaddy, Namecheap) an, gehen Sie zur DNS-Verwaltungsseite für TXT-Einträge und erstellen oder aktualisieren Sie den SPF-Eintrag mit:
  • Typ: TXT
  • Host/Name: @ (oder Ihre Domäne, z. B. example.com)
  • Wert: Ihre SPF-Zeichenfolge (z. B. v=spf1 include:_spf.google.com ~all)
• Speichern Sie den Eintrag und warten Sie auf die DNS-Übertragung. Die Änderungen werden in der Regel innerhalb von Minuten bis wenigen Stunden angezeigt; rechnen Sie mit bis zu 48 StundenWiederholen Sie den Vorgang für alle weiteren Domänen oder Subdomänen, die Sie zum Senden von E-Mails verwenden. (Stellen Sie sicher, dass Sie nicht mehrere SPF-Einträge für dieselbe Domäne veröffentlichen. Führen Sie die Absender in einem einzigen Eintrag zusammen.)

Schritt 4: Wählen Sie zwischen softfail (~all) und hardfail (-all)

Am Ende jedes SPF-Eintrags sehen Sie entweder ~all oder -all. Damit wird gesteuert, wie Mailbox-Anbieter E-Mails von nicht autorisierten Servern behandeln.

Google Workspace SPF-Herausforderungen und deren Behebung

Auch wenn SPF konfiguriert ist, kann es vorkommen, dass Nachrichten nicht authentifiziert werden, abgewiesen werden oder im Spam landen. Verwenden Sie die nachstehenden Anleitungen, um Konfigurationsprobleme zu diagnostizieren und zu beheben, ohne die zuvor behandelte Regel "ein SPF-Eintrag" zu wiederholen. Ungelöste SPF-Probleme können auch zu höheren Bounce-Raten führen und das Risiko von Hard Bounces und Soft Bounces erhöhen, die beide dem Ruf Ihres Absenders schaden.

DNS-Verbreitung und DNS-Caching

Nachdem Sie SPF hinzugefügt oder aktualisiert haben, sind die Ergebnisse nicht sofort sichtbar. Es kann bis zu 48 Stunden dauern, bis DNS-Änderungen übertragen werden. Mailserver und -tools können auch Suchvorgänge zwischenspeichern.

Ihr neuer TXT-Eintrag hat sich noch nicht verbreitet, oder ein Empfängerserver verwendet ein DNS-Ergebnis aus dem Cache.

Wie man das beheben kann:

• Warten Sie auf die DNS-Verbreitung. Die meisten Änderungen werden innerhalb weniger Stunden umgesetzt, aber es kann bis zu 48 Stunden dauern.
• Reduzieren Sie die DNS-TTL vor größeren Änderungen, damit sich Aktualisierungen schneller verbreiten.
• Erneuter Test mit mehreren DNS-Check-Tools, um zu vermeiden, dass man sich auf eine einzige Ansicht im Cache verlässt 

DNS-Lookup-Limit überschritten

SPF erlaubt maximal 10 DNS-Lookups. Jeder include:, mx, a, exists, ptr oder redirect kann zu dieser Zahl beitragen, einschließlich verschachtelter Abfragen innerhalb des eigenen SPF eines Anbieters.

Gestapelte CRMs, Marketingplattformen und Gateways bringen Sie über 10 Suchvorgänge hinaus.

Wie man das beheben kann:

• Zählen Sie die Suchvorgänge mit Google Admin Toolbox oder ähnlichem.
• Entfernen Sie ungenutzte Anbieter und doppelte Mechanismen.
• Achten Sie auf verschachtelte include: Ketten.
• Ziehen Sie in Erwägung, Ihren SPF-Eintrag zu vereinfachen, indem Sie verschachtelte include:-Direktiven gegebenenfalls durch die veröffentlichten IP-Adressen des Anbieters ersetzen, aber beachten Sie, dass dies den Wartungsaufwand erhöht (Anbieter können IPs ändern).

Syntax- und Bestellfehler

SPF ist streng in Bezug auf die Formatierung.

Warum das passiert: Fehlende Leerzeichen oder Anführungszeichen, falsch platzierte Mechanismen, Auslassung des v=spf1-Versionstags oder falsche Platzierung des All-Mechanismus 

Wie man das beheben kann:

Folgen Sie dem Muster:

v=spf1 [mechanisms] [modifiers] [policy]

Gültiges Beispiel:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

• Vor der Veröffentlichung mit der Google Admin Toolbox validieren.
• Halten Sie jede TXT-Zeichenkette unter 255 Zeichen. Wenn Ihr DNS-Anbieter diese Begrenzung erzwingt, teilen Sie den SPF-Wert entsprechend den Anforderungen des Anbieters in mehrere in Anführungszeichen stehende Zeichenfolgen auf.
  
  

Weiterleitung und Verteilerlisten

SPF prüft die IP des Servers, der die Nachricht weiterleitet. Weiterleitungen und Mailinglisten-Server sind in der Regel nicht in Ihrem SPF-Eintrag autorisiert, so dass weitergeleitete E-Mails SPF nicht bestehen können, selbst wenn Ihr SPF ansonsten korrekt ist.

Die IP des Forwarders ist in Ihrem SPF nicht zugelassen.

Wie man das beheben kann:

• Aktivieren Sie DKIM, damit die kryptografische Signatur die Weiterleitung überdauert und die Nachrichten die Authentifizierung auch dann passieren können, wenn SPF fehlschlägt.
• Erzwingen Sie DMARC, damit ausgerichtetes DKIM passieren kann, auch wenn SPF nach der Weiterleitung fehlschlägt.
• Verwenden Sie die E-Mail-Protokollsuche, um festzustellen, ob eine Nachricht weitergeleitet wurde, und um den Sprungpfad anzuzeigen.

Breite oder gemeinsam genutzte IP-Bereiche in SPF

Große Cloud-Bereiche können Risiken und unnötige Suchvorgänge mit sich bringen.

Die Verwendung breiter ip4:- oder ip6:-Bereiche von gemeinsam genutzten Clouds autorisiert mehr Infrastruktur, als Sie kontrollieren können, und stimmt möglicherweise nicht mit den tatsächlich sendenden IPs überein.

Wie man das beheben kann:

• Ersetzen Sie breite Bereiche durch feste, zugewiesene IPs für Ihre tatsächlichen Instanzen.
• Anbieter bevorzugen: Richtlinien, wenn sie stabile Pools verwalten.
• Entfernen Sie nicht mehr verwendete Platzhalter- oder Legacy-Bereiche.

SPF-Ergebnisse in Nachrichtenkopfzeilen lesen

Anhand der Kopfzeilen können Sie genau erkennen, wie ein Empfänger die SPF bewertet hat.

In den vollständigen Kopfzeilen finden Sie Authentication-Results: und das Ergebnis spf=. Handeln Sie dann entsprechend.

• Kein SPF-Eintrag: SPF nicht geprüft. Überprüfen Sie erneut, ob Ihr SPF-TXT-Eintrag korrekt veröffentlicht wurde.
• spf= beste Vermutung: SPF fehlt oder ist falsch konfiguriert, oder es gibt DNS-Probleme beim Anbieter. Reparieren Sie den Eintrag und überprüfen Sie den DNS-Status.
• spf= neutral, softfail, oder fail: Die IP-Adresse des Absenders ist nicht in Ihrem Eintrag enthalten, oder der Absender ist nicht autorisiert. Aktualisieren Sie Ihren Eintrag, um legitime Absender aufzunehmen.
• spf= temperror oder permerror: Vorübergehende oder permanente DNS/SPF-Fehler. Validieren Sie die Syntax und prüfen Sie den DNS-Status des Anbieters.
• Weitergeleitete Mails, die SPF nicht erfüllen: Bestätigen Sie den Pfad mit Email Log Search und verlassen Sie sich dann auf DKIM und DMARC zum Abgleich.

So überprüfen Sie, ob Ihr SPF-Eintrag ordnungsgemäß eingerichtet ist

Selbst wenn Ihr SPF-Eintrag im DNS korrekt aussieht, können kleine Syntaxfehler oder Probleme beim Nachschlagen dazu führen, dass er nicht funktioniert und Ihre Posteingangsplatzierung beeinträchtigt.

Um 100% sicher zu sein, verwenden Sie den SPF Checker von MailReach. Er validiert sofort Ihre SPF-Einrichtung und weist auf Konfigurations- oder DNS-Probleme hin.

Im Gegensatz zu den meisten kostenlosen SPF-Tests führt MailReach eine End-to-End-Prüfung durch und prüft, wie sich Ihr Eintrag unter realen Sendebedingungen verhält und nicht nur, wie er im DNS erscheint.

Für eine vollständige Überprüfung der Zustellbarkeit können Sie auch einen MailReach Inbox Placement Test durchführen. Er überprüft die SPF-, DKIM- und DMARC-Authentifizierung bei Gmail, Outlook und anderen wichtigen Mailbox-Anbietern.

Beide Tools helfen Ihnen, Authentifizierungsprobleme frühzeitig zu erkennen, damit Sie Ihren Absenderruf schützen und eine gute Platzierung im Posteingang beibehalten können.

Was ist der richtige Ansatz?  

SPF bestätigt, dass Ihre Domäne berechtigt ist, E-Mails zu versenden, aber es garantiert nicht die Platzierung im Posteingang. Mailbox-Anbieter bewerten auch, wie die Empfänger mit Ihren Nachrichten umgehen. Deshalb ist die Aufwärmphase so wichtig. Sie trägt zum Aufbau positiver Reputationssignale bei, die SPF allein nicht liefern kann.

Aufwärmen ist am wichtigsten, wenn:

• Sie senden von einer neuen Domäne aus, die keinen Ruf genießt.
• Der Ruf Ihrer Domain wurde durch Bounces oder Spam-Beschwerden beschädigt.
• Sie fügen neue Posteingänge in großem Umfang hinzu und müssen ihnen vertrauen können, bevor Sie sie ansprechen.
• Sie möchten eine gleichmäßige Platzierung im Posteingang beibehalten, während Sie mehrere Tools oder Anbieter verwenden.

MailReach's Email Warmup und AI Warmup simulieren reale Interaktionen in vertrauenswürdigen Postfächern und bauen so nach und nach die Interaktionshistorie auf, die Mailbox-Anbieter schätzen. Mit dem Inbox Placement Test können Sie überprüfen, ob SPF-Änderungen keine neuen Zustellbarkeitsrisiken mit sich bringen.