HubSpot ist im deutschen B2B-Vertrieb und Marketing fest etabliert – von der einfachen Newsletter-Kampagne bis zum komplexen Workflow mit Lead-Scoring und automatisierten Follow-ups. Genau deshalb ist es ärgerlich, wenn die sorgfältig gebaute Sequenz nicht im Posteingang, sondern im Spam-Ordner von GMX, Web.de, T-Online oder Outlook landet. Die Ursache liegt fast immer nicht bei HubSpot als Plattform, sondern bei der Absenderdomain: Sie ist entweder gar nicht verifiziert, oder die DNS-Einträge sind unvollständig gesetzt.
Warum HubSpot-Mails deutscher B2B-Absender im Spam landen
HubSpot erlaubt technisch den Versand, auch ohne dass ihr eure eigene Domain vollständig verifiziert habt – die Mails gehen dann über eine geteilte HubSpot-Infrastruktur hinaus. Für Mailboxprovider ist das ein klares Warnsignal: Die Absenderadresse zeigt auf eure Domain, die Authentifizierung (SPF/DKIM) zeigt aber nicht sauber auf denselben Absender. Dieses fehlende Alignment ist für Spamfilter einer der zuverlässigsten Indikatoren für Phishing-Muster – selbst wenn der Inhalt völlig legitim ist. Kommt dazu, dass viele HubSpot-Konten im deutschen Mittelstand aus alten Newsletter2Go- oder Zapier-Migrationen stammen und die Domain-Verifizierung beim Umzug schlicht übersehen wurde.
Der Kern des Problems: Absenderdomain nicht verifiziert
HubSpot selbst weist im Account deutlich darauf hin, dass Marketing-E-Mails erst nach Verifizierung der Absenderdomain zuverlässig zustellbar sind. Ohne diesen Schritt fehlt die Domain-Authentifizierung, die Empfängerserver für Aufbau von Absenderreputation brauchen. Das betrifft nicht nur Massen-Newsletter, sondern auch transaktionale und Workflow-Mails, die über dieselbe Absenderdomain laufen.
Schritt für Schritt: eigene Domain in HubSpot verifizieren
Der Ablauf ist bei HubSpot standardisiert, unterscheidet sich aber im Detail je nach Account-Region (EU vs. US-Datenzentrum) und Tarif. Grundsätzlich läuft es so:
- Im HubSpot-Account unter den Absender-Einstellungen die zu verifizierende Domain eintragen (in der Regel die Domain, von der auch eure Website läuft).
- HubSpot generiert daraufhin mehrere DNS-Einträge – meist CNAME-Records für die DKIM-Signatur und einen Hinweis zum SPF-Include. Diese Werte sind pro Account individuell und dürfen nicht aus generischen Vorlagen kopiert werden.
- Die Einträge im DNS-Verwalter eurer Domain (z. B. beim Registrar oder Hoster) exakt so anlegen, wie HubSpot sie anzeigt – Groß-/Kleinschreibung und Punkte am Ende zählen.
- Im HubSpot-Account die Verifizierung anstoßen und Propagationszeit einplanen – DNS- Änderungen brauchen teils mehrere Stunden, bis sie global sichtbar sind.
- Nach erfolgreicher Verifizierung eine echte Testkampagne über die verifizierte Domain verschicken und die Zustellung prüfen, statt sich auf HubSpots internen Status allein zu verlassen.
Die exakten DNS-Werte holt ihr euch nur aus eurem eigenen HubSpot-Account – jede allgemeine SPF-Beispielzeile im Netz ist bestenfalls illustrativ. Struktur sieht dabei typischerweise so aus:
From:) nicht zur verifizierten Domain passt – etwa eine Subdomain, die nirgends eingetragen wurde. Prüft, dass eure DMARC-Policy (mindestens p=none zum Monitoring) auf genau die Domain zeigt, von der HubSpot tatsächlich versendet, und stellt bei Bedarf um.DACH-Besonderheiten: GMX, Web.de, T-Online und Co.
Für deutsche B2B-Absender zählt neben Gmail und Outlook vor allem die Zustellung bei GMX und Web.de – beide gehören zu United Internet, bewerten die Reputation von Domain und IP aber jeweils getrennt. T-Online gilt traditionell als besonders strenger Filter, der auf Beschwerdequote und Absenderreputation sensibel reagiert und bei einer älteren, tendenziell aufmerksamen Empfängerbasis besonders unversöhnlich mit unauthentifizierten Absendern umgeht. Wer B2B-Leads über HubSpot anschreibt und Kontakte bei Posteo oder mailbox.org im Verteiler hat, sollte zusätzlich bedenken, dass diese privacy-fokussierten Provider strikt auf sauber gesetzte Authentifizierung achten – ein unverifizierter Absender fällt dort besonders schnell durchs Raster.
Da HubSpot standardmäßig über ein europäisches oder US-Rechenzentrum versendet, lohnt sich ein Blick darauf, wie eure Domain über verschiedene deutsche Provider hinweg tatsächlich ankommt – nicht nur, ob HubSpot intern „verifiziert“ anzeigt.
Rechtliche Basis nicht vergessen
Technische Zustellbarkeit ist die eine Seite – die rechtliche Grundlage die andere. Nach UWG §7 braucht kommerzieller E-Mail-Versand in Deutschland eine vorherige Einwilligung; Double-Opt-in gilt in der Praxis als Standardnachweis dafür. DSGVO regelt die Verarbeitung von E-Mail-Adressen als personenbezogene Daten, das TTDSG ergänzt das insbesondere bei Tracking von Öffnungen und Klicks. HubSpot bietet die technischen Bausteine dafür (Opt-in- Formulare, Abmeldelinks, Consent-Verwaltung) – korrekt konfiguriert werden müssen sie aber pro Account selbst, inklusive klarer Absenderidentifikation in jeder Mail.
Nach der Verifizierung: testen statt hoffen
HubSpots interner „Verified“-Status bestätigt nur, dass die DNS-Einträge gefunden wurden – er sagt nichts darüber aus, ob eure Domain bei GMX, Web.de oder T-Online tatsächlich im Posteingang statt im Spam-Ordner landet. Schickt nach der Umstellung eine Testkampagne an die verschiedenen deutschen Provider und prüft das Ergebnis konkret. Mit einem kostenlosen Inbox-Placement-Test seht ihr in einem Durchlauf, ob SPF/DKIM/DMARC bei jedem Provider tatsächlich greifen, in welchem Ordner (Posteingang, Spam, Werbung) die Mail ankommt und wie sie im echten Postfach gerendert wird. Wer die eigene Domain-Adoption bei Massenprovidern grundsätzlich vergleichen will, findet auf der laufenden Auswertung Daten zur SPF-, DKIM- und DMARC-Verbreitung.
Warum landen HubSpot-Mails bei GMX oder Web.de im Spam, obwohl SPF gesetzt ist?
From: exakt der verifizierten Domain entspricht.