ARC & SEG für Google Workspace — natives ARC und Gmail-Sicherheit
Google Workspace ist bei ARC die Referenz: Google war Mitentwickler des Protokolls, Gmail validiert eingehende ARC-Ketten und versiegelt weitergeleitete Nachrichten vollautomatisch — es gibt keinen ARC-Schalter, den man umlegen müsste. Als integriertes Secure Email Gateway dient die Gmail-Sicherheit mit erweiterter Phishing- und Malware-Erkennung sowie der Security Sandbox in den höheren Editionen. Diese Anleitung zeigt ARC-Status, Inbound-Gateway, SEG-Schicht und Verifikation.
ARC und SEG für Google Workspace und Gmail
Google Workspace verlangt für ARC keinen Konfigurationsschritt: Google war Mitentwickler des ARC-Protokolls — erste Implementierungen liefen bereits 2015, RFC 8617 wurde im Juli 2019 veröffentlicht. Gmail, Google Workspace und Google Groups validieren eingehende ARC-Ketten und versiegeln weitergeleitete Nachrichten automatisch im Hintergrund. Es gibt keinen ARC-Schalter in der Admin Console — ARC läuft plattformseitig.
Als Secure Email Gateway bringt Google Workspace nativen Schutz mit: Spam-, Phishing- und Malware-Erkennung sind in allen Editionen aktiv. Die höheren Editionen (Enterprise) sowie das kostenpflichtige Add-on liefern die Security Sandbox, die verdächtige Anhänge vor der Zustellung in einer isolierten Umgebung ausführt — der entscheidende Zero-Day-Schutz. Die erweiterte Phishing- und Malware-Erkennung wird in der Google Admin Console (support.google.com, Abruf 2026-05-21) aktiviert.
Hardening-Pfad: MX → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → ARC & SEG (dieser Guide). Bedrohungs-Cluster: Die Gmail-Sicherheit schützt vor Phishing und gefährlichen Anhängen.
Google Groups ist einer der größten ARC-Anwender weltweit. Wenn Mitglieder Ihrer Organisation Google Groups nutzen und Ihre Domain DMARC mit p=reject hat, funktioniert die Zustellung dank ARC weiterhin — vorausgesetzt, der empfangende Server validiert ARC, was bei Google, Microsoft 365 und Yahoo der Fall ist. Wichtige Einordnung: ARC (RFC 8617) ist ein IETF-Experimental-Protokoll; das Working-Group-Dokument draft-ietf-dmarc-arc-to-historic (Stand 22. April 2026) empfiehlt die Reklassifizierung als Historic. Da Google ARC vollautomatisch handhabt, ist für Workspace-Kunden kein Handlungsbedarf nötig — Google folgt der Standard-Entwicklung selbst.
ARC-Status und MX-Pattern von Google Workspace prüfen
Da Google ARC automatisch handhabt, ist Schritt 1 reine Bestandsaufnahme: das MX-Pattern für die Stack-Detection, die DMARC-Policy als Voraussetzung und das ARC-Ergebnis im Header einer weitergeleiteten Mail.
# Google-Workspace-MX-Pattern prüfen (Stack-Detection)
dig MX ihre-domain.de +short
# Erwartet: 1 smtp.google.com. (Single-MX seit April 2023)
# oder Legacy-Cluster:
# 1 aspmx.l.google.com.
# 5 alt1.aspmx.l.google.com. (und alt2..alt4)
# DMARC-Policy der eigenen Domain (Voraussetzung der Kette)
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# ARC-Ergebnis in einer weitergeleiteten Mail prüfen
# (Gmail: Nachrichtenmenü -> "Original anzeigen")
# Authentication-Results: mx.google.com; ...; arc=pass (i=1 ...)Gmail schreibt das ARC-Ergebnis in den Authentication-Results-Header. Bei einer korrekt weitergeleiteten E-Mail steht dort arc=pass mit der Instance-Nummer i=1 (oder höher bei mehreren Weiterleitungsstationen). Findet sich kein ARC-Ergebnis, wurde die Mail entweder nicht weitergeleitet oder der weiterleitende Server signiert keine ARC-Ketten — Gmail selbst validiert immer.
Inbound-Gateway konfigurieren, falls ein SEG vorgeschaltet ist
Dieser Schritt ist nur nötig, wenn Sie ein dediziertes SEG vor Google Workspace betreiben. Dann muss Gmail wissen, dass die eingehende Verbindung vom SEG kommt — sonst wertet Gmail die SEG-IP als Absender-IP aus und SPF schlägt fehl. Über den Inbound-Gateway tragen Sie die IP-Bereiche des SEG ein.
# ARC läuft bei Google automatisch — es gibt KEINEN ARC-Schalter.
# Google war Mitentwickler des ARC-Protokolls; Gmail validiert
# eingehende Ketten und versiegelt weitergeleitete Nachrichten selbst.
#
# Konfigurations-Bedarf besteht nur, wenn ein SEG VOR Google
# geschaltet ist. Dann in der Google Admin Console (admin.google.com):
# Apps -> Google Workspace -> Gmail
# -> Spam, Phishing und Malware -> Inbound-Gateway
# -> IP-Adressbereiche des vorgeschalteten SEG eintragen
#
# Damit wertet Gmail die Original-Absender-IP aus den Headern aus
# statt der IP des SEG — SPF, DKIM und DMARC bleiben korrekt.Wer Google Workspace ohne vorgeschaltetes SEG betreibt — der häufigste Fall —, lässt den Inbound-Gateway leer. ARC und die Gmail-Sicherheit arbeiten vollständig automatisch. Der Inbound-Gateway ist ausschließlich für den Sonderfall gedacht, dass ein dediziertes SEG die E-Mails zuerst filtert und dann an Google weiterreicht.
Google war einer der drei Hauptantreiber des ARC-Standards — neben Microsoft und LinkedIn — und implementierte den Mechanismus produktiv bereits Jahre vor der RFC-8617-Veröffentlichung im Juli 2019. Diese Pionierrolle erklärt drei Eigenheiten der Google-Workspace-ARC-Behandlung: Erstens fehlt jeder Admin-Toggle — ARC ist tief in die Gmail-Architektur eingebaut, kein Add-on. Zweitens trägt Google selbst als Sealer-Domain (z. B. d=google.com bei Google-Groups-Weiterleitungen) und wird von Microsoft 365 als typischer Trusted-ARC-Sealer akzeptiert. Drittens kein Workspace-Admin-spezifisches Outbound-ARC-Setup — die ARC-Signaturen entstehen plattformseitig in Googles Mailservern. Praxis-Bezug zum DKIM2-Nachfolge-Standard: Wei Chuang (Google) ist Co-Autor des draft-ietf-dkim-dkim2-spec v02 vom 17. Mai 2026 — Google plant seine SMTP-Authentifizierungs-Strategie also bereits über ARC hinaus. Workspace-Kunden müssen aktiv nichts tun; die Plattform folgt der IETF-Entwicklung mit.
SEG-Schicht — Gmail-Sicherheit und Security Sandbox aktivieren
Die integrierte Secure-Email-Gateway-Funktion von Google Workspace aktivieren Sie in der Admin Console unter Apps → Google Workspace → Gmail → Spam, Phishing und Malware. Schalten Sie die erweiterte Phishing- und Malware-Erkennung ein und prüfen Sie die Verfügbarkeit der Security Sandbox.
Die Standard-Editionen filtern Spam, Phishing und bekannte Malware. Die Security Sandbox — die verdächtige Anhänge vor der Zustellung in einer isolierten Umgebung ausführt und so Zero-Day-Malware erkennt — ist Teil der Enterprise-Editionen beziehungsweise als Add-on verfügbar. Aktivieren Sie zusätzlich die erweiterte Phishing- und Malware-Erkennung (Schutz vor Spoofing, Anhangs-Schutz von nicht vertrauenswürdigen Absendern, Link-Schutz). Für die meisten KMU ist dieser native Schutz ausreichend — ein dediziertes SEG lohnt sich vor allem bei KRITIS-Anforderungen oder Multi-Cloud-Umgebungen.
Verifikation per Authentication-Results und Sicherheitscenter
Die ARC-Funktion verifizieren Sie an einer weitergeleiteten Test-Mail; die SEG-Wirkung zeigt das Sicherheitscenter der Google Admin Console. Die Funktion „Original anzeigen“ in Gmail macht den vollständigen Header inklusive ARC-Ergebnis sichtbar.
# 1. Test über Google Groups oder eine externe Mailingliste,
# die an ein Workspace-Postfach zustellt.
# 2. In Gmail: Nachrichtenmenü -> "Original anzeigen".
# 3. Im Authentication-Results-Header prüfen:
# arc=pass (i=1 spf=... dkim=... dmarc=...)
# SEG-Wirkung: Admin Console -> Sicherheit -> Sicherheitscenter;
# das Untersuchungstool (Enterprise) zeigt blockierte Bedrohungen.
# Wolf-Agents Email Security Check: erkennt smtp.google.com bzw.
# aspmx.l.google.com automatisch und bewertet ARC- und SEG-Status.
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Google-Workspace-Domains automatisch über die MX-Pattern smtp.google.com (Single-MX seit April 2023) und den Legacy-Cluster aspmx.l.google.com, bewertet ARC-Detection und SEG-Status im 165-Punkte-Scanner. Das Monitoring überwacht die E-Mail-Sicherheit alle 6 Stunden.
Häufige Fehler bei ARC & SEG für Google Workspace
Suche nach einem „ARC aktivieren“-Schalter in der Admin Console
Problem: In der Google Admin Console wird eine ARC-Option gesucht, um die Funktion einzuschalten. Ursache: Google handhabt ARC vollautomatisch plattformseitig — es gibt bewusst keinen Schalter. Lösung: Keine Aktion nötig. ARC-Validierung und -Sealing laufen für jede Workspace-Domain automatisch; Konfigurationsbedarf besteht nur beim Inbound-Gateway mit vorgeschaltetem SEG.
Vorgeschaltetes SEG ohne Inbound-Gateway-Eintrag
Problem: Ein dediziertes SEG ist vor Google geschaltet, danach landen viele legitime E-Mails im Spam oder SPF schlägt fehl. Ursache: Gmail wertet die IP des SEG als Absender-IP aus statt der Original-IP. Lösung: Die IP-Bereiche des SEG im Inbound-Gateway eintragen, damit Gmail die Original-Header für SPF, DKIM und DMARC heranzieht.
Security Sandbox nicht aktiviert — kein Zero-Day-Schutz
Problem: Die Organisation verlässt sich auf den Standard-Malware-Schutz und nimmt an, alle Bedrohungen seien abgedeckt. Ursache: Der Standard-Schutz erkennt bekannte Malware, nicht aber Zero-Day-Anhänge. Lösung: Die Security Sandbox aktivieren (Enterprise-Edition oder Add-on) — sie führt verdächtige Anhänge vor der Zustellung isoliert aus.
„Gmail filtert ohnehin alles“ — DMARC vernachlässigt
Problem: Auf die Gmail-Sicherheit wird vertraut, die eigene Domain bleibt ohne DMARC-Enforcement. Ursache: Die Gmail-Sicherheit schützt eingehende E-Mails — sie verhindert nicht, dass Angreifer im Namen Ihrer Domain spoofen. Lösung: DMARC mit p=quarantine oder p=reject durchsetzen — siehe DMARC-Enforcement für Google.
Compliance: NIS2 lit. a + lit. d, BSI APP.5.3.A4, DSGVO mit Google Workspace
Die Gmail-Sicherheit als integriertes SEG zahlt direkt auf NIS2 Art. 21 Abs. 2 lit. a ein („Konzepte in Bezug auf die Risikoanalyse und Sicherheit für Informationssysteme“) und setzt die BSI-IT-Grundschutz-Basis-Anforderung APP.5.3.A4 um (Spam- und Schadsoftware-Prüfung auf dem E-Mail-Server). Die native ARC-Verarbeitung sichert die Authentifizierungskette über Weiterleitungen und unterstützt lit. d (Sicherheit der Lieferkette). Google Workspace bietet für DACH-Kunden EU Data Residency seit 2023.
Google-Workspace-ARC-SEG-Compliance-Stack: NIS2 lit. a (Gmail-Sicherheit als Defense-in-Depth-Schicht) + NIS2 lit. d (natives ARC sichert die Forwarding-Lieferkette) + BSI IT-Grundschutz APP.5.3.A4 (Spam-/Schadsoftware-Prüfung) + DSGVO Art. 32 (Schutz personenbezogener Daten) + Google EU Data Residency 2023. Wolf-Agents-USP: Der Email Security Check erkennt Google-Workspace-Domains automatisch über die MX-Pattern smtp.google.com und aspmx.l.google.com, bewertet ARC-Detection und SEG-Status im 165-Punkte-Scanner (ARC und SEG als je 5 Bonuspunkte) und weist transparent aus, dass API-basierte ICES-Lösungen für MX-basierte Erkennung unsichtbar bleiben. Cross-Verweis: Phishing und Business Email Compromise.
ARC- und SEG-Anleitung für weitere Provider:
Wie steht Ihre Domain bei ARC & SEG · Google Workspace?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.