Warum Google-Workspace-E-Mails beim Weiterleiten an DMARC scheitern und wie Sie es beheben

Wenn Ihr Unternehmen E-Mails über Google Workspace versendet, scheitern möglicherweise einige Ihrer Nachrichten an DMARC, ohne dass es jemandem auffällt, und zwar genau die Nachrichten, die weitergeleitet werden. Die Ursache ist ein Standard-DKIM-Schlüssel, mit dem Google signiert, solange Sie keinen eigenen veröffentlichen. Dieser Leitfaden erklärt, warum das passiert, wie verbreitet es ist und wie Sie es beheben, anhand von Daten eines der Kunden von DMARCeye als praxisnahes Beispiel.

Inhalt dieses Leitfadens

• Womit Google Workspace Ihre E-Mails signiert
• Warum der Standardschlüssel beim Weiterleiten an DMARC scheitert
• Wie verbreitet ist das?
• Wie es in der Praxis aussieht: der Fall Saleshero
• So beheben Sie es

Womit Google Workspace Ihre E-Mails signiert

Google Workspace signiert Ihre ausgehenden E-Mails immer mit einer DKIM-Signatur, unabhängig davon, ob Sie einen eigenen Schlüssel konfiguriert haben oder nicht. Wenn Sie keinen eingerichtet haben, signiert Google mit einem Standardschlüssel auf einer technischen Google-Domain, etwa yourcompany.20230601.gappssmtp.com, statt mit Ihrer eigenen Domain. Nichts wirkt verkehrt: Die E-Mail wird versendet, und bei direkter Zustellung besteht sie die Prüfung in der Regel.

Warum der Standardschlüssel beim Weiterleiten an DMARC scheitert

DMARC besteht nur dann, wenn die Domain in der DKIM-Signatur zur Domain passt, von der Ihre E-Mail tatsächlich stammt. Der Standardschlüssel von Google signiert unter gappssmtp.com, während Ihre E-Mail von Ihrer eigenen Domain stammt, sodass die Domains nie übereinstimmen. Bei direkter Zustellung fällt das nicht auf, weil SPF weiterhin besteht. Doch in dem Moment, in dem eine Nachricht weitergeleitet wird, bricht SPF zusammen, DKIM hat keine passende Signatur als Rückfalloption, und DMARC scheitert. Die Nachricht kann im Spam landen, und der Absender sieht nie eine Unzustellbarkeitsmeldung.

Die Einsätze sind höher als früher. Seit Google und Yahoo 2024 ihre Anforderungen an Massenversender verschärft haben, bedeutet ein DMARC-Fehler immer häufiger, dass die E-Mail im Spam landet.

Wie verbreitet ist das?

Im Q1-2026-Datensatz von DMARCeye scheitern rund 11 % aller über Google versendeten E-Mails, also etwa 1 von 9 Nachrichten, an DKIM auf genau diese Weise. Das kommt fast immer von der Absenderseite, nicht von Google, weil jemand den Standardschlüssel nie ersetzt hat.

Diese Zahlen stammen aus dem Q1-2026-Branchenbericht von DMARCeye zum Stand von DMARC.

Wie es in der Praxis aussieht: der Fall Saleshero

Saleshero ist eine B2B-Vertriebsakademie für kleinere Unternehmen und Kunde von DMARCeye. Sie hilft Gründern, Geschäftsführern und Vertriebsteams beim Wachstum - vom Aufbau der Vertriebsstrategie über das Training von Vertriebsteams bis zum langfristigen Coaching von Führungskräften. Ihre Vertriebskommunikation, Follow-ups und Angebote laufen alle über Google Workspace, sodass die Zustellbarkeit für Saleshero den Umsatz direkt beeinflusst.

Die DMARC-Berichte von Saleshero zeigten das Muster deutlich. Über den Google-Versand hinweg scheiterten 1.109 von 8.216 Nachrichten an DMARC, bei einer Konformität von 86,5 %. Auf einer Empfänger-Domain, die E-Mails an ein privates Gmail-Konto weiterleitete, bestanden nur 2,3 % der Nachrichten.

Saleshero veröffentlichte einen eigenen DKIM-Schlüssel, und innerhalb von etwa zwei Werktagen sank die DMARC-Fehlerquote von 13,5 % auf 0,11 %, wobei die Konformität 99,9 % erreichte und weitergeleitete E-Mails nicht mehr scheiterten. Die Wochenansicht von DMARCeye zeigt die Wende: monatelange Fehler, dann nahezu null in der Woche, in der der neue Schlüssel aktiv wurde.

"Wir gingen davon aus, dass mit der Nutzung von Google Workspace alles rund um DMARC automatisch erledigt sei. Es war eine echte Überraschung zu erfahren, dass ein erheblicher Teil unserer E-Mails irgendwo anders als in den Postfächern unserer Kunden landen könnte."

Alexander Raiman

Mitgründer, Saleshero

So beheben Sie es

Die Lösung besteht darin, einen eigenen DKIM-Schlüssel zu veröffentlichen, damit Google unter Ihrer Domain statt unter der Standard-Google-Domain signiert.

Der DIY-Weg: Richten Sie Ihren eigenen DKIM-Schlüssel ein

Wenn Sie das selbst erledigen möchten, befindet sich die Einrichtung in Ihrer Google Admin-Konsole und dauert ein paar Minuten plus eine DNS-Änderung:

1. Gehen Sie in der Google Admin-Konsole zu Apps, dann Google Workspace, dann Gmail, dann E-Mail authentifizieren, und erzeugen Sie einen DKIM-Schlüssel für Ihre Domain.
2. Fügen Sie den TXT-Eintrag, den Google Ihnen gibt, zur DNS Ihrer Domain hinzu, bei dem Anbieter, der sie hostet.
3. Klicken Sie zurück in der Admin-Konsole auf Authentifizierung starten, damit Google mit Ihrem eigenen Schlüssel statt mit dem Standardschlüssel von gappssmtp.com signiert.

Schritt zwei erfordert Zugriff auf die DNS Ihrer Domain. Wenn Sie diese nicht selbst verwalten, was bei Marketingteams häufig vorkommt, geben Sie die Aufgabe an die zuständige Person weiter: Ihr IT-Team, Ihren Webhoster oder die Person, die Ihre Domain eingerichtet hat.

Die offizielle Anleitung von Google enthält alle Details: DKIM für Ihre Domain aktivieren.

Wenn Sie über Google Workspace versenden und nie einen eigenen DKIM-Schlüssel veröffentlicht haben, lohnt es sich zu sehen, wie Ihre Domain gerade aussieht.

Machen Sie es sich mit DMARCeye einfach

Der DIY-Weg funktioniert, doch das Veröffentlichen des Schlüssels war nie der schwierige Teil. Der schwierige Teil ist, die Lücke überhaupt zu erkennen und die nächste zu finden, bevor sie Sie ein Geschäft kostet.

Genau hier kommt DMARCeye ins Spiel. Es liest Ihre DMARC-Berichte und macht daraus klare Handlungsempfehlungen: Es zeigt, wo Ihre E-Mail-Authentifizierung scheitert, erklärt warum, und nennt Ihnen den genauen nächsten Schritt zur Behebung. Eine Lücke wie der Standardschlüssel von Google zeigt sich von selbst, und DMARCeye beobachtet weiter, sodass die nächste Fehlkonfiguration auftaucht, solange sie für alle anderen noch unsichtbar ist.