Wie du einen Google Workspace SPF Record für professionelle Email Deliverability einrichtest

Auch wenn die Konfiguration eines Google Workspace SPF-Records so einfach aussieht wie die Veröffentlichung eines einzelnen DNS TXT-Records, gibt es wichtige technische Aspekte, die beachtet werden müssen. Vom Verständnis der Rolle von SPF bei der E-Mail-Authentifizierung bis hin zur Vermeidung häufiger Fehlkonfigurationen wie mehrerer SPF-Records oder der Überschreitung von DNS-Lookup-Limits – die Details sind wichtig.

In diesem Leitfaden geben wir dir eine klare Schritt-für-Schritt-Anleitung zur Einrichtung von SPF für Google Workspace, um sicherzustellen, dass deine E-Mails die Authentifizierung bestehen, die Platzierung im Posteingang verbessert wird und zusätzliche Protokolle wie DKIM und DMARC unterstützt werden.

Was ist ein Google Workspace SPF Record?

Ein Google Workspace SPF-Eintrag ist ein DNS-TXT-Eintrag, der empfangenden Servern mitteilt, welche Mailserver E-Mails im Namen deiner Google Workspace-Domain senden dürfen. Ohne einen SPF-Eintrag können Gmail und Outlook die Echtheit deiner E-Mails nicht überprüfen, was die Wahrscheinlichkeit erhöht, dass deine Nachrichten als Spam markiert oder für Spoofing-Angriffe verwendet werden. 

Einfach ausgedrückt: Wenn du eine Domain wie deinunternehmen.de besitzt und E-Mails über Google Workspace versendest, beweist ein SPF-Eintrag den empfangenden Servern, dass die Mailserver von Google berechtigt sind, Nachrichten im Namen deiner Domain zu versenden.

SPF ist eines der drei wichtigsten E-Mail-Authentifizierungsprotokolle neben DKIM und DMARC, die zusammen die Nachrichtenauthentifizierung und die Platzierung im Posteingang verbessern.

Wie SPF funktioniert

SPF funktioniert, indem es die IP-Adresse des Servers, der deine Nachricht gesendet hat, mit der Liste der autorisierten Absender vergleicht, die in den DNS-Einträgen deiner Domain veröffentlicht sind.

Hier ist ein vereinfachter Ablauf:

1. Ein Benutzer sendet eine E-Mail über Google Workspace.
2. Der E-Mail-Server des Empfängers (z. B. Gmail oder Outlook) fragt die DNS-Einträge deiner Domain nach einem SPF-Eintrag ab.
3. Wenn die sendende IP-Adresse oder der sendende Dienst aufgeführt ist, besteht die Nachricht den SPF-Check und gelangt zum Posteingangsfilterprozess des Postfachs.
4. Wenn er nicht aufgeführt ist, schlägt die SPF-Validierung der Nachricht fehl und sie kann vom Mailserver des Empfängers als Spam markiert, unter Quarantäne gestellt oder abgelehnt werden.
   
   

Beispiel für einen Google Workspace SPF-Record:

v=spf1 include:_spf.google.com ~all

Dieser Eintrag sagt:

• v=spf1 → Version des verwendeten SPF
• include:_spf.google.com → autorisiert die Mailserver von Google
• ~alle → Softfail für alles, was nicht aufgeführt ist (als verdächtig markieren, aber nicht direkt blockieren)

Häufige SPF-Record-Bestandteile 

Bei der Konfiguration oder Fehlerbehebung von SPF-Einträgen wirst du oft auf diese gängigen Mechanismen stoßen:

• include → verweist auf einen anderen SPF-Eintrag (z. B. include:_spf.google.com)
• ip4 / ip6 → erlaubt einer bestimmten IPv4- oder IPv6-Adresse, E-Mails zu senden
• a → autorisiert Mailserver, die im A-Record deiner Domain definiert sind
• mx → autorisiert die Mail Exchanger deiner Domain
• all → passt auf alles (muss am Ende stehen)
• ~all → “softfail,” nicht autorisierte E-Mails werden akzeptiert, aber markiert
• -all → “hardfail,” nicht autorisierte E-Mails werden abgelehnt 

Warum Google Workspace eine SPF-Konfiguration erfordert

Ohne einen SPF-Eintrag ist deine Google Workspace-Domain gefährdet. Böswillige Akteure können deine E-Mail-Adresse fälschen, Phishing-Angriffe in deinem Namen starten oder deine Marke vor Kunden imitieren. Wenn Mailbox-Anbieter wie Gmail oder Outlook nicht überprüfen können, ob eine Nachricht von deiner Domain stammt, können legitime Nachrichten in den Spam-Ordner geleitet werden. Dies ist eines der häufigsten Probleme mit der E-Mail-Zustellbarkeit, auf die Unternehmen stoßen, wenn keine grundlegende E-Mail-Authentifizierung vorhanden ist.

Deshalb ist SPF mehr als nur eine technische Einstellung. Die Konfiguration teilt den Anbietern mit: “Ja, dies sind die Server, die berechtigt sind, für meine Domain zu senden.” Das Ergebnis ist eine verbesserte Senderreputation, bessere Inbox-Platzierungsraten und die Einhaltung der von Postfach-Anbietern erwarteten Authentifizierungsstandards.

Schritt-für-Schritt: So richtest du Google Workspace SPF ein

Bevor du deine DNS-Einstellungen änderst, lies dir zuerst diese Voraussetzungen durch.  Viele Probleme mit der Zustellbarkeit rühren von fehlenden Absendern in SPF-Einträgen oder von der Veröffentlichung mehrerer SPF-Einträge für dieselbe Domain her. Google Workspace vereinfacht den Prozess, aber du musst diese Setup-Anforderungen erfüllen, bevor du DNS bearbeitest.

Was du im Voraus wissen solltest:

• Einige Domains haben SPF bereits vorkonfiguriert, insbesondere wenn du sie über einen Google-Partner erworben hast. Überprüfe vorhandene Einträge mit einem SPF-Lookup- / Validierungstool (z. B. einem SPF-Checker oder der Google Admin Toolbox), bevor du Änderungen vornimmst.
• SPF-Records werden bei deinem DNS-Provider konfiguriert (Domain-Registrar oder DNS-Host), nicht in der Google Admin-Konsole. Füge den SPF TXT-Record über das Control Panel deines DNS-Providers hinzu oder aktualisiere ihn (z. B. GoDaddy, Cloudflare, Namecheap).
• Nur ein SPF TXT-Eintrag ist pro Domain zulässig; das Veröffentlichen mehrerer SPF-Einträge führt dazu, dass die SPF-Auswertung fehlschlägt.

Schritt 1: Identifiziere alle E-Mail-Absender

Dein SPF-Record muss jeden Server oder Dienst enthalten, der in deinem Namen E-Mails versendet. Für Domains, die nur Google Workspace nutzen, ist dies möglicherweise der einzige Absender. In den meisten Organisationen muss er jedoch auch zusätzliche Absender berücksichtigen, wie z. B.:

• Webserver
• On-Premise Mailserver (z.B. Microsoft Exchange)
• Mailserver, die von deinem Hosting-Provider verwendet werden
• Outbound Gateways
• CRM- und Outreach-Plattformen (Salesforce, HubSpot, MailReach, Apollo usw.)
• Marketingplattformen (z. B. Mailchimp, SendGrid)
• Transaktions-Tools (Shopify, Stripe, Zendesk)
• Webseitenformulare, die automatisierte E-Mails versenden

Schritt 2: Bestimme deinen SPF-Record

Sobald du deine vollständige Liste der Absender hast, erstelle deinen SPF-Record. Ein SPF-Record ist eine kurze Textzeichenfolge, die in den DNS-Einstellungen deiner Domain veröffentlicht wird. Er teilt den Mailbox-Anbietern mit, welche Server berechtigt sind, im Namen deiner Domain zu senden.

Deine Aufgabe ist es, alle Domains und IP-Adressen aus deinem Senderbestand in einem einzigen SPF-Record zu kombinieren, um sicherzustellen, dass kein legitimer Absender ausgelassen wird. Pro Domain ist nur ein SPF-TXT-Record zulässig; die Veröffentlichung mehrerer SPF-Records führt dazu, dass die SPF-Auswertung fehlschlägt.

Wenn du auch andere Plattformen wie Mailchimp, Salesforce oder Microsoft 365 nutzt, solltest du diese zu einem Strang zusammenführen, damit alle deine Services abgedeckt sind.

Zum Beispiel:

Denk immer daran: Es sollte nur einen SPF-Eintrag geben.

Schritt 3: Füge deinen SPF-Record beim Domain-Host hinzu

• Melde dich bei deinem DNS-Provider oder Domain-Registrar an (z. B. Cloudflare, GoDaddy, Namecheap). Gehe zur DNS-Verwaltungsseite für TXT-Einträge. Erstelle oder aktualisiere den SPF-Eintrag mit:
  • Typ: TXT
  • Host/Name: @ (oder deine Domain, z.B. example.com)
  • Wert: deine SPF-Zeichenfolge (z. B. v=spf1 include:_spf.google.com ~all)
• Speichere den Eintrag und warte auf die DNS-Propagation. Änderungen erscheinen typischerweise innerhalb von Minuten bis wenigen Stunden; rechne mit bis zu 48 Stunden. Wiederhole den Vorgang für alle zusätzlichen Domains oder Subdomains, die du zum Senden von E-Mails verwendest. (Stelle sicher, dass du nicht mehrere SPF-Einträge für dieselbe Domain veröffentlichst. Führe Absender in einem einzigen Eintrag zusammen.)

Schritt 4: Wähle zwischen Softfail (~all) und Hardfail (-all)

Am Ende jedes SPF-Records findest du entweder ~all oder -all. Das steuert, wie Mailbox-Anbieter mit E-Mails von nicht autorisierten Servern umgehen.

Google Workspace SPF-Herausforderungen und wie man sie behebt

Selbst wenn SPF konfiguriert ist, können Nachrichten immer noch die Authentifizierung fehlschlagen, abgelehnt werden oder im Spam landen. Verwende die folgenden Anleitungen, um Konfigurationsprobleme zu diagnostizieren und zu beheben, ohne die zuvor behandelte Regel “ein SPF-Record” zu wiederholen. Unbehobene SPF-Probleme können auch zu höheren E-Mail-Bounce-Raten führen und das Risiko von Hard Bounces und Soft Bounces erhöhen, was deiner Absenderreputation schadet.

DNS-Propagation und DNS-Caching

Nachdem du SPF hinzugefügt oder aktualisiert hast, sind die Ergebnisse nicht sofort sichtbar. Es kann bis zu 48 Stunden dauern, bis sich DNS-Änderungen verbreitet haben. Mailserver und Tools können auch Lookups zwischenspeichern.

Dein neuer TXT-Record wurde noch nicht übertragen, oder ein Empfängerserver verwendet ein zwischengespeichertes DNS-Ergebnis.

So behebst du es:

• Warte, bis die DNS-Propagation abgeschlossen ist. Die meisten Änderungen sind innerhalb weniger Stunden wirksam, es kann aber bis zu 48 Stunden dauern.
• Reduziere den DNS TTL vor größeren Änderungen, damit sich Aktualisierungen schneller verbreiten.
• Führe erneute Tests mit mehreren DNS-Check-Tools durch, um dich nicht auf eine einzelne gecachte Ansicht zu verlassen. 

DNS Lookup Limit überschritten

SPF erlaubt maximal 10 DNS-Lookups. Jedes include:, mx, a, exists, ptr oder redirect kann zu dieser Anzahl beitragen, einschließlich verschachtelter Lookups innerhalb des eigenen SPF eines Anbieters.

Gestapelte CRMs, Marketingplattformen und Gateways bringen dich über 10 Lookups hinaus.

So behebst du es:

• Zähl die Suchvorgänge mit der Google Admin Toolbox oder ähnlichem.
• Entferne ungenutzte Provider und doppelte Mechanismen.
• Achte auf verschachtelte Include-Ketten.
• Erwäge, deinen SPF-Record zu vereinfachen, indem du verschachtelte Include:-Direktiven durch die veröffentlichten IP-Adressen des Anbieters ersetzt, wo dies angebracht ist, aber beachte, dass dies den Wartungsaufwand erhöht (Anbieter können IPs ändern).

Syntax- und Sortierfehler.

SPF ist sehr streng in Bezug auf die Formatierung.

Warum es passiert: Fehlende Leerzeichen oder Anführungszeichen, falsch platzierte Mechanismen, Auslassen des v=spf1 Versionstags oder falsche Platzierung des All-Mechanismus 

So behebst du es:

Folge diesem Muster:

v=spf1 [Mechanismen] [Modifikatoren] [Policy]

Valides Beispiel:

v=spf1 include:_spf.google.com include:servers.mcsv.net ~all

• Vor der Veröffentlichung mit der Google Admin Toolbox validieren.
• Halte jede TXT-Zeichenkette unter 255 Zeichen. Wenn dein DNS-Provider dieses Limit erzwingt, teile den SPF-Wert gemäß den Anforderungen des Providers in mehrere in Anführungszeichen gesetzte Zeichenketten auf.
  
  

Weiterleitung und Mailinglisten

SPF prüft die IP des Servers, der die Nachricht übergibt. Weiterleitungs- und Mailinglistenserver sind typischerweise nicht in deinem SPF-Record autorisiert, sodass weitergeleitete E-Mails SPF fehlschlagen können, selbst wenn dein SPF ansonsten korrekt ist.

Die IP des Forwarders ist in deinem SPF nicht autorisiert.

So behebst du es:

• Aktiviere DKIM, damit die kryptografische Signatur die Weiterleitung übersteht und Nachrichten die Authentifizierung bestehen, selbst wenn SPF fehlschlägt.
• Erzwinge DMARC, damit ausgerichtetes DKIM auch dann noch funktioniert, wenn SPF nach der Weiterleitung fehlschlägt.
• Verwende die E-Mail-Protokollsuche, um zu bestätigen, ob eine Nachricht weitergeleitet wurde, und um den Hop-Pfad anzuzeigen.

Breite oder gemeinsam genutzte IP-Bereiche in SPF

Große Cloud-Bereiche können Risiken und unnötige Suchvorgänge verursachen.

Die Verwendung von breiten ip4- oder ip6-Bereichen von Shared Clouds autorisiert mehr Infrastruktur, als du kontrollierst, und stimmt möglicherweise immer noch nicht mit den tatsächlichen Sending IPs überein.

So behebst du es:

• Ersetze breite Bereiche durch feste, zugewiesene IPs für deine tatsächlichen Instanzen.
• Bevorzuge Provider Include: Direktiven, wenn diese stabile Pools verwalten.
• Entferne Platzhalter oder veraltete Bereiche, die du nicht mehr verwendest.

SPF-Ergebnisse in Nachrichtenkopfzeilen lesen

Header zeigen dir genau, wie ein Empfänger SPF bewertet hat.

Suche in den vollständigen Headern nach Authentication-Results: und dem spf= Ergebnis. Handle dann entsprechend.

• Kein SPF-Eintrag: SPF nicht geprüft. Überprüfe nochmals, ob dein SPF TXT-Record korrekt veröffentlicht wurde.
• spf= best-guess: SPF fehlt oder ist falsch konfiguriert, oder es gibt DNS-Probleme beim Provider. Korrigiere den Eintrag und überprüfe den DNS-Status.
• spf= neutral, softfail, oder fail: Die sendende IP ist nicht in deinem Eintrag enthalten, oder der Absender ist nicht autorisiert. Aktualisiere deinen Eintrag, um legitime Absender einzubeziehen.
• spf= temperror oder permerror: Temporäre oder permanente DNS/SPF-Fehler. Überprüfe die Syntax und den DNS-Status des Providers.
• Weitergeleitete E-Mails, bei denen SPF fehlschlägt: Bestätige den Pfad mit der E-Mail-Protokollsuche und verlasse dich dann auf DKIM und DMARC für die Ausrichtung.

Wie du überprüfst, ob dein SPF-Record richtig eingerichtet ist

Selbst wenn dein SPF-Eintrag in DNS korrekt aussieht, können kleine Syntaxfehler oder Lookup-Probleme dazu führen, dass er stillschweigend fehlschlägt und deine Inbox-Platzierung beeinträchtigt.

Um 100% sicher zu sein, verwende den MailReach SPF Checker. Er validiert sofort dein SPF-Setup und hebt alle Konfigurations- oder DNS-Probleme hervor.

Anders als die meisten kostenlosen SPF-Tests führt MailReach eine End-to-End-Verifizierung durch und prüft, wie sich dein Record tatsächlich unter realen Sende Bedingungen verhält, und nicht nur, wie er im DNS erscheint.

Für eine vollständige Überprüfung der Zustellbarkeit kannst du auch einen MailReach Inbox Placement Test durchführen. Er überprüft die SPF-, DKIM- und DMARC-Authentifizierung bei Gmail, Outlook und anderen großen Postfach-Anbietern.

Beide Tools helfen dir, Authentifizierungsprobleme frühzeitig zu erkennen, damit du deine Sender-Reputation schützen und eine starke Inbox-Platzierung aufrechterhalten kannst.

Was ist der richtige Ansatz?  

SPF bestätigt, dass deine Domain berechtigt ist, E-Mails zu versenden, aber es garantiert keine Platzierung im Posteingang. Postfach-Anbieter bewerten auch, wie Empfänger mit deinen Nachrichten interagieren. Deshalb ist Warmy so wichtig; es hilft, positive Reputationssignale aufzubauen, die SPF allein nicht bieten kann.

Warmup ist am wichtigsten, wenn:

• Du versendest von einer neuen Domain ohne Reputation.
• Deine Domain-Reputation wurde durch Bounces oder Spam-Beschwerden beschädigt.
• Du fügst neue Inboxes in großem Umfang hinzu und musst sicherstellen, dass sie vor der Kontaktaufnahme als vertrauenswürdig eingestuft werden.
• Du willst eine stabile Inbox-Platzierung beibehalten, während du mehrere Tools oder Anbieter verwendest.

Das Email Warmup und AI Warmup von MailReach simulieren echte Interaktionen über vertrauenswürdige Postfächer hinweg und bauen schrittweise die Engagement-Historie auf, die Postfach-Anbieter schätzen. Mit dem Inbox Placement Test kannst du überprüfen, ob SPF-Änderungen neue Deliverability-Risiken eingeführt haben.