SPF für Google Workspace einrichten

Schritt-für-Schritt-Anleitung: SPF-Record für Gmail konfigurieren, in der Admin Console prüfen und die verschachtelte Include-Kette verstehen.

SPF prüfen Plattform entdecken
Google Workspace · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 6. April 2026

SPF für Google Workspace (Gmail)

Google Workspace nutzt den SPF-Include _spf.google.com, der intern auf drei verschachtelte Netblock-Records verweist und damit 3-4 DNS-Lookups verbraucht — fast die Hälfte des 10-Lookup-Budgets nach RFC 7208. Planen Sie weitere E-Mail-Dienste sorgfältig, um das Limit nicht zu überschreiten. Subdomain-Delegation ist bei Google Workspace die empfohlene Strategie für zusätzliche Dienste.

SPF ist eine nach NIS2 Art. 21 und BSI TR-03182 geforderte Schutzmaßnahme für E-Mail-Authentifizierung. Der Wolf-Agents Email Security Check prüft Ihren Google-Workspace-SPF-Record auf 22 Kriterien — einschließlich der verschachtelten Lookup-Kette.

Hardening-Pfad: Nach SPF folgt als nächster Schritt DKIM für Google Workspace — gemeinsam bilden SPF + DKIM die Grundlage für DMARC.

Ausführliche Einführung in SPF

1 Schritt 1 von 3

SPF-Record im DNS anlegen

Erstellen Sie einen TXT-Record bei Ihrem DNS-Provider. Der Include _spf.google.com enthält alle IP-Bereiche der Google-Mailserver.

DNS TXT-Record Google Workspace 
ihre-domain.de.  IN  TXT  "v=spf1 include:_spf.google.com -all"
Verschachtelte Include-Kette (3-4 Lookups)

_spf.google.com verweist intern auf _netblocks.google.com, _netblocks2.google.com und _netblocks3.google.com — jeder davon zählt als separater Lookup. Insgesamt verbraucht Google Workspace 3-4 der 10 erlaubten Lookups.

Häufiger Fehler: include:google.com statt include:_spf.google.com

Der korrekte Include ist _spf.google.com (mit Unterstrich-Präfix). include:google.com verweist auf den allgemeinen SPF-Record von google.com — das ist nicht der richtige Record für Ihre Workspace-Domain.

Mit weiteren Diensten (Mailchimp, SendGrid)?

Fügen Sie alle Includes in einen einzigen SPF-Record zusammen. RFC 7208 erlaubt nur einen SPF-Record pro Domain:

v=spf1 include:_spf.google.com include:servers.mcsv.net -all
2 Schritt 2 von 3

Google Admin Console prüfen

Google zeigt in der Admin Console den empfohlenen SPF-Record an. Vergleichen Sie diesen mit Ihrem DNS-Eintrag.

Menüpfad in der Admin Console

  1. Öffnen Sie die Google Admin Console (admin.google.com)
  2. Navigieren Sie zu Apps → Google Workspace → Gmail
  3. Klicken Sie auf Authentifizierung
  4. Google zeigt den empfohlenen SPF-Record an
  5. Fügen Sie den TXT-Record bei Ihrem DNS-Provider hinzu
3 Schritt 3 von 3

SPF-Record verifizieren

Prüfen Sie den Record und die verschachtelte Include-Kette mit DNS-Befehlen.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig TXT ihre-domain.de +short
# "v=spf1 include:_spf.google.com -all"

# Windows (PowerShell)
Resolve-DnsName -Name ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Verschachtelte Includes prüfen
dig TXT _spf.google.com +short
# "v=spf1 include:_netblocks.google.com include:_netblocks2.google.com include:_netblocks3.google.com ~all"

# Einzelne Netblocks prüfen (enthalten nur ip4:/ip6: — keine weiteren Lookups)
dig TXT _netblocks.google.com +short

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — er zählt automatisch alle verschachtelten Lookups.

Google Postmaster Tools als Monitoring-Ergänzung

Unter postmaster.google.com zeigt Google detaillierte SPF-Auswertungen für E-Mails an Gmail-Empfänger — inklusive Authentifizierungsrate und Domain-Reputation. Nutzen Sie die Postmaster Tools ergänzend zum Wolf-Agents Monitoring, um die Zustellbarkeit bei Gmail-Empfängern im Blick zu behalten.

Häufige Fehler bei Google Workspace

Google Workspace verbraucht mit 3-4 Lookups bereits fast die Hälfte des SPF-Budgets — diese drei Fehler verschärfen das Problem.

Falscher Include: google.com statt _spf.google.com

Problem: include:google.com verweist auf den allgemeinen SPF-Record von Google, nicht auf die Workspace-Mailserver. Die E-Mail-Authentifizierung funktioniert möglicherweise, aber der Lookup-Verbrauch ist anders als erwartet.

Lösung: Verwenden Sie immer include:_spf.google.com (mit Unterstrich-Präfix) — das ist der offizielle Include für Google Workspace.

Lookup-Limit durch Marketing-Tools überschritten

Problem: Google Workspace (3-4 Lookups) + HubSpot (7-9 Lookups) = 10-13 Lookups. Das 10-Lookup-Limit ist überschritten, SPF liefert PermError. Besonders tückisch: Gmail ist bei PermError tolerant und stellt oft noch zu — der Fehler bleibt monatelang unbemerkt, bis Microsoft-365-Empfänger E-Mails ablehnen.

Lösung: Verlagern Sie HubSpot, Mailchimp und andere Marketing-Tools auf Subdomains: marketing.ihre-domain.de IN TXT "v=spf1 include:servers.mcsv.net -all".

Google-Calendar-Einladungen erzeugen SPF-Fehler

Problem: Google Calendar sendet Einladungen über spezielle Server, die nicht in allen _spf.google.com-Netblocks enthalten sind. In seltenen Fällen kann dies zu SPF Soft Fail führen — besonders bei strengen Empfängerservern.

Lösung: Stellen Sie sicher, dass Ihr SPF-Record include:_spf.google.com verwendet (nicht nur einzelne Netblocks). Google aktualisiert die Netblock-Records regelmäßig, um alle Dienste abzudecken.

SPF-Anleitung auch für:

Microsoft 365IONOSStratoAll-InklHetznerPostfixEximGenerisch

Wie steht Ihre Domain bei SPF?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten