Nesse caso, eles provavelmente disseram ao seu servidor algo assim:
EHLO www.tchile.com
MAIL FROM: [email protected]
RCPT TO: [email protected]
DATA
Date: Thu, 13 Oct 2016 04:03:54 -0300
Message-Id: <[email protected]>
To: [email protected]
Subject: CANCELLATION_PROCESS.
From: KIWI BANK <[email protected]>
Reply-To:
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary=029F3E3270D5187AA69203962BF830E3
X-Virus-Scanned: ClamAV using ClamSMTP
The contents of mail...
.
A conversação SMTP (também conhecida como "o envelope") pode ter cabeçalhos de e-mail diferentes De / Para. SPF não verifica o cabeçalho, no entanto, é sempre o cabeçalho que é realmente exibido para o usuário final! Sim, o SMTP é esse quebrado. Sim, o SPF é esse quebrado.
Você será melhor atendido verificando o DMARC em vez de verificar apenas o SPF. O DMARC, por padrão, verifica o SPF, mas também verifica o alinhamento do cabeçalho De com SMTP MAIL FROM (os domínios precisam corresponder - ele ignora a parte do nome de usuário). Como bônus, você também pode obter suporte DKIM, que é um adendo muito útil ao SPF.
O DMARC dependeria do registro TXT do DNS definido em _dmarc.kiwibank.co.nz. mas atualmente não há nenhum. Por estado atual de regulamentos da Internet, isso significa que o proprietário do kiwibank.co.nz. não dá a mínima para ser protegido contra essas falsificações. Mas você poderia, em algumas implementações, impor o DMARC para todos os e-mails recebidos.