Alias-Strategie für Google Workspace — 30 Alternate Email Addresses
Google Workspace erlaubt 30 Alternate Email Addresses pro Nutzer ohne Zusatzkosten — deutlich weniger als die 400 von Microsoft 365, aber für die meisten KMU-Szenarien ausreichend. Diese Anleitung zeigt die Bestandsaufnahme per Admin SDK, die Bulk-Erstellung von Service-Aliasen via Directory API, die Send-as-Konfiguration in Gmail für korrekte Antwort-Absender und den Recipient-Address-Mapping-Workaround für Setups mit mehr als 30 Aliasen pro Nutzer. Plus Privacy-Layer-Empfehlung durch SimpleLogin (Proton-Tochter seit 8. April 2022) für Mitarbeiter mit EU-Souveränitäts-Mandat.
Alias-Strategie für Google Workspace — die 30-Aliase-Mechanik
Google Workspace erlaubt 30 Alternate Email Addresses pro Nutzer ohne Zusatzkosten (knowledge.workspace.google.com, Abruf 24. Mai 2026) — Google bezeichnet das Feature als „Alternate Email Address“ oder „Email Alias“, nicht als „Send-as Alias“. Send-as ist die in Gmail einzustellende Antwort-Funktion: Damit die Antwort auf eine an einen Alias eingegangene Mail auch vom Alias kommt, muss der Nutzer in Gmail eine Send-as-Identität konfigurieren.
Wer mehr als 30 Aliase pro Nutzer braucht, hat zwei Optionen. Google Groups als Funktions-Aliase (support@, info@) — eine Gruppe wirkt wie eine Adresse, kann beliebig viele Mitglieder haben und zählt nicht gegen das 30er-Limit. Recipient Address Mapping unter Admin Console → Apps → Google Workspace → Gmail → Routing erlaubt deutlich mehr Alias-Mappings pro Domain. Für die meisten Service-Alias-Szenarien reicht aber das 30er-Limit pro Nutzer — Service-Aliase werden nicht jedem Nutzer einzeln zugewiesen, sondern sammeln sich bei wenigen IT-/Marketing-/Buchhaltungs-Postfächern.
Hardening-Pfad: MX → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → ARC & SEG → Alias-Strategie (dieser Guide).
Aktuelle Alternate Email Addresses in der Admin Console auflisten
Vor jeder Erweiterung steht die Bestandsaufnahme: Welche Alternate Email Addresses existieren bereits pro Nutzer? Manuell sehen Sie das in der Admin Console unter Verzeichnis → Nutzer → Nutzerinformationen → „Alternative E-Mail-Adressen“. Programmatisch holen Sie es über das Google Admin SDK Directory API mit Python — Grundlage für ein zentrales Alias-Register.
# Aliase in der Google Admin Console pruefen
# admin.google.com -> Verzeichnis -> Nutzer
# Nutzer waehlen -> Nutzerinformationen
# Abschnitt "Alternative E-Mail-Adressen (E-Mail-Aliasse)"
# Limit pro Nutzer: 30 Alternate Email Addresses ohne Zusatzkosten
# Per Admin SDK Directory API (Python)
from googleapiclient.discovery import build
service = build('admin', 'directory_v1', credentials=credentials)
# Alle Aliase eines Nutzers auflisten
result = service.users().aliases().list(
userKey='marketing@firma.de'
).execute()
for alias in result.get('aliases', []):
print(alias['alias'])
# Alle Nutzer mit Aliasen exportieren (Bestandsaufnahme)
users = service.users().list(customer='my_customer').execute()
for user in users.get('users', []):
aliases = service.users().aliases().list(userKey=user['primaryEmail']).execute()
print(user['primaryEmail'], aliases.get('aliases', []))Anders als bei Microsoft 365 (400) liegt die Grenze in Google Workspace bei 30 Alternate Email Addresses pro Nutzer — wer die Grenze überschreiten will, bekommt eine Fehlermeldung. Für Funktions-Aliase wie support@, info@ verwenden Sie stattdessen Google Groups; für hunderte Service-Aliase pro Domain das Recipient Address Mapping unter Apps → Google Workspace → Gmail → Routing.
Service-Aliase über Admin Console oder Admin SDK hinzufügen
Pro externem Dienst ein eigener Alias — bei wenigen Aliasen reicht die Admin Console (Verzeichnis → Nutzer → „Add Alternate Emails“), bei Bulk-Operationen oder Onboarding-Skripten ist das Google Admin SDK Directory API der schnellere Weg. Replikation bis zu 24 Stunden, Voraussetzung ist die User Management Privilege.
# Service-Aliase via Admin Console
# admin.google.com -> Verzeichnis -> Nutzer -> Nutzer waehlen
# Klick auf "Add Alternate Emails" -> Alias-Namen eingeben
# Optional Secondary Domain auswaehlen -> Speichern
# Replikation: bis zu 24 Stunden
# Voraussetzung: Admin mit User Management Privilege
# Per Admin SDK Directory API (Python) — Bulk-Add
from googleapiclient.discovery import build
service = build('admin', 'directory_v1', credentials=credentials)
service_aliases = [
('marketing@firma.de', 'hubspot-2026@firma.de'),
('it@firma.de', 'slack-2026@firma.de'),
('it@firma.de', 'github-2026@firma.de'),
('buchhaltung@firma.de', 'aws-billing@firma.de'),
]
for user, alias in service_aliases:
service.users().aliases().insert(
userKey=user,
body={'alias': alias}
).execute()
print(f"Alias {alias} -> {user} erstellt.")
# Workaround fuer mehr als 30 Aliase pro Nutzer
# Admin Console -> Apps -> Google Workspace -> Gmail -> Routing
# Recipient Address Mapping konfigurieren (deutlich groesseres Limit)Die Google-Doku ist klar: „A user can have multiple alternate email addresses, but each alternate address can only be added to one user account.“ Wer denselben Alias zwei Nutzern zuweisen will, bekommt einen Konflikt — für gemeinsame Postfächer nutzt man Google Groups. Aliase sind außerdem keine Google-Konten — es gibt keinen separaten Login.
Send-as in Gmail aktivieren und externe Privacy-Anbieter optional empfehlen
Send-as ist ein nutzerseitiges Setting in Gmail (Einstellungen → Konten → „Senden als“). Es muss pro Service-Alias einmalig konfiguriert werden, damit Antworten von der richtigen Alias-Adresse kommen — sonst sieht der externe Dienst eine andere Adresse als die registrierte, die Alias-Isolation ist gebrochen.
EU-/CH-souverän: SimpleLogin (Proton-Tochter seit 8. April 2022, Sitz Genf-Plan-les-Ouates — kein US-CLOUD-Act) oder Proton Pass-Email (gleiche Proton AG, separat von SimpleLogin). Self-Hosted: addy.io (vorher AnonAddy, Rebrand 9. August 2023). US-Konzern: Firefox Relay (Mozilla — Free=5 Aliase, Premium=unbegrenzt + Custom-Domain), DuckDuckGo Email Protection (kostenlos seit Juli 2021 in Beta), Apple Hide My Email (iCloud+-Pflicht, kostenpflichtig ab dem Einstiegs-Tier — kein Free-Tier). Detail in der Auswahl-Matrix im Kapitel-Index.
Verifikation und Leak-Erkennung via Service-Alias plus HIBP-Monitoring
Nach jeder Alias-Erstellung verifizieren Sie via Test-Mail. Dauerhaft setzen Sie auf zwei Leak-Indikatoren: unerwartete Mail an Service-Aliase und HIBP-Domain-Search via API v3.
# Test-Mail an neuen Alias senden (extern)
# Pruefen, ob die Mail im Posteingang des Ziel-Nutzers landet
# Vor dem Antworten muss Send-as in Gmail konfiguriert sein:
#
# Gmail -> Einstellungen (Zahnrad) -> Alle Einstellungen aufrufen
# Tab "Konten und Import" -> Abschnitt "Senden als"
# "Weitere E-Mail-Adresse hinzufuegen" -> Alias eintragen
# "Als Alias behandeln" aktivieren -> Speichern
# (Keine zusaetzliche Verifizierung noetig, wenn Alias
# bereits in der Admin Console konfiguriert ist.)
# Leak-Erkennung — Spam-Mail an Service-Alias als Indikator
# 1. Mail an "hubspot-2026@firma.de" von unbekanntem Absender
# -> HubSpot hat Adresse weitergegeben oder wurde geleakt.
# 2. HIBP API v3 (Tier Core/Pro/High RPM):
curl -H "hibp-api-key: IHR-32-ZEICHEN-API-KEY" \
https://haveibeenpwned.com/api/v3/breacheddomain/firma.de
# Wolf-Agents Email Security Check: erkennt Google Workspace
# ueber MX-Pattern aspmx.l.google.com und prueft Catch-All
# sowie Role-Mailboxes (RFC 2142) als Hygiene-Indikator.Häufige Fehler bei der Google-Workspace-Alias-Strategie
30er-Limit pro Nutzer überschritten — Service-Aliase werden auf falsche Nutzer verteilt
Problem: Service-Aliase werden auf 30 verschiedene Nutzer verteilt, weil das 30er-Limit pro Nutzer erreicht wurde. Ursache: Service-Aliase sollten bei wenigen Postfächern sammeln (IT-Admin, Marketing, Buchhaltung), nicht über alle Nutzer streuen. Lösung: Recipient Address Mapping unter Admin Console → Apps → Gmail → Routing für hohe Alias-Zahlen pro Domain — deutlich höheres Limit.
Send-as nicht konfiguriert — Antworten gehen von Hauptadresse
Problem: Alternate Email Addresses sind angelegt, aber Antworten gehen von der Hauptadresse. Ursache: Send-as ist eine nutzerseitige Gmail-Einstellung, die per Alias einmalig konfiguriert werden muss. Lösung: Gmail → Einstellungen → Konten → „Senden als“ → Weitere E-Mail-Adresse hinzufügen → „Als Alias behandeln“. Keine zusätzliche Verifizierung nötig, wenn der Alias bereits in der Admin Console konfiguriert ist.
Alias mehrfach zugewiesen — Konflikt-Fehler in Admin SDK
Problem: Admin SDK liefert Fehler, wenn derselbe Alias zwei Nutzern zugewiesen werden soll. Ursache: Google erlaubt nur eine 1:1-Zuordnung Alias-zu-Nutzer. Lösung: Für gemeinsame Postfächer Google Groups nutzen — eine Gruppe wirkt wie eine Adresse, mehrere Nutzer als Mitglieder.
Alias als Login-Adresse missverstanden
Problem: Nutzer versucht, sich mit seinem Alias bei Google anzumelden — Login schlägt fehl. Ursache: Aliase sind keine Google-Konten („Email aliases are not Google Accounts“). Lösung: Login erfolgt immer mit der primären E-Mail-Adresse, Aliase sind reine Empfangs- bzw. Send-as-Adressen.
DSGVO Art. 32, MITRE M1054 und Google Workspace EU-Region
Eine Alias-Strategie in Google Workspace zahlt direkt auf DSGVO Art. 32 (Sicherheit der Verarbeitung) ein — Pseudonymisierung ist als technisch-organisatorische Maßnahme explizit anerkannt. DSGVO Art. 17 (Recht auf Löschung) lässt sich über Alias-Deaktivierung sofort umsetzen. Google Workspace bietet EU-Region-Speicherung (Frankfurt/Belgien) für Workspace-Kunden. NIS2-Bezug ist nur bei externen Anbietern relevant (Art. 21 Abs. 2 lit. d Lieferkette).
Google-Workspace-Alias-Compliance-Stack: DSGVO Art. 32 (Pseudonymisierung als TOM) + DSGVO Art. 17 (Alias-Deaktivierung als Lösch-Maßnahme) + Google Workspace EU-Region + MITRE M1054 (Software Configuration) als Mitigation-Mapping. Wolf-Agents-USP: Der Email Security Check erkennt Google Workspace über die MX-Pattern aspmx.l.google.com und smtp.google.com, prüft Catch-All-Konfiguration und Role-Mailboxes (RFC 2142) als Alias-Hygiene-Indikator. Cross-Verweis: DMARC für Google Workspace und ARC & SEG für Google Workspace.
Mehrwert — 30-Aliase-Limit, Recipient-Address-Mapping-Workaround und saubere Abgrenzung Alias / Send-as / Group
Google Workspace erlaubt 30 Alternate Email Addresses pro Nutzer ohne Zusatzkosten — laut Workspace-Knowledge-Base zeichengenau: „You can add up to 30 aliases for each user, at no extra cost. To use more, create another Google account“ (knowledge.workspace.google.com, Abruf 24. Mai 2026). Wer mehr braucht, hat drei dokumentierte Workarounds: (1) Recipient Address Mapping in der Admin Console (Apps → Google Workspace → Gmail → Default routing) — nimmt eingehende Mail an eine beliebige Adresse an und routet sie an einen tatsächlichen Empfänger; (2) Google Groups als gemeinsame Postfächer (eine Adresse, mehrere Empfänger — anders als Aliase!); (3) Gmail-Delegation für geteilte Postfach-Zugänge.
Saubere Abgrenzung Alias ≠ Send-as ≠ Group: Aliase sind Empfänger-Filter (eine Adresse → ein Postfach), keine Google-Konten (kein Login, kein Drive-Zugriff) und „multiple users can't share an email alias“ (Workspace-Knowledge-Base). Send-as ist eine Gmail-Setting auf User-Ebene (eigene Absender-Adresse konfigurierbar, nicht admin-verwaltet). Group ist ein gemeinsames Postfach für mehrere Nutzer. Die Empfehlung für gemeinsame Funktions-Mailboxen ist Gmail-Delegation oder Google Group, nicht Alias. Privacy-Hinweis aus der Doku: „Aliases are not private. Aliases can appear in Gmail search results from other users in your organization“ — wer ein striktes Pseudonym braucht, ergänzt externe Privacy-Anbieter.
Souveränitäts-Empfehlung für DACH-Kunden mit Anti-CLOUD-Act-Mandat: Google Workspace bietet EU-Regionen (Frankfurt/Belgien), behält als US-Konzern jedoch grundsätzliche CLOUD-Act-Exposition. Externe Privacy-Layer-Empfehlung analog M365: SimpleLogin (Proton-Tochter seit 8.4.2022, Plan-les-Ouates Genf) für EU/CH-souveränen Pseudonym-Workflow — Free=10 Aliase, kostenpflichtiges Premium-Abo unbegrenzt + Custom Domain (simplelogin.io/pricing, WebFetch 24.5.2026); addy.io self-hosted (Will Browning UK, Rebrand 9.8.2023, AGPL-3.0, PHP/Laravel) für volle Datensouveränität. Wolf-Agents-USP: Der 165-Punkte-Scanner erkennt Google Workspace über MX-Pattern aspmx.l.google.com und prüft Catch-All-Verhalten + RFC-2142-Role-Mailboxes (postmaster/abuse/hostmaster/security/info/webmaster — Dave Crocker, Internet Mail Consortium, Mai 1997) als Hygiene-Indikator.
Alias-Strategie-Anleitung für weitere Provider:
Wie steht Ihre Domain bei Alias-Strategie · Google Workspace?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.